Prozessmodell der Unternehmenssicherheit

Für das Management von Unternehmenssicherheit existieren bereits zahlreiche Standards, Normen und Frameworks, die in Wissenschaft und Praxis entwickelt wurden. Allerdings adressieren viele dieser Modelle Teilbereiche (etwa nur IT-Sicherheit oder nur einzelne Branchen), so dass Großunternehmen oft mehrere parallele Systeme nutzen. Im Folgenden werden wichtige bestehende Ansätze analysiert, um Anforderungen und bewährte Prinzipien für ein integratives Prozessmodell abzuleiten.

Ein zentraler Bezugsrahmen ist die internationale Norm ISO/IEC 27001 für Informationssicherheits-Managementsysteme (ISMS). ISO 27001 definiert einen systematischen Managementprozess zum Schutz vertraulicher Daten und Informationswerte. Kern des ISMS nach ISO ist der kontinuierliche Verbesserungsprozess nach dem PDCA-Zyklus (Plan-Do-Check-Act). Die Norm fordert, dass Unternehmen Sicherheitsziele und -richtlinien festlegen (Plan), entsprechende Maßnahmen implementieren (Do), die Wirksamkeit überwachen und bewerten (Check) sowie das Sicherheitsniveau und die Maßnahmen laufend verbessern (Act). Dieses PDCA-Modell wurde in ISO 27001:2005 explizit verankert, um Informationssicherheit als fortlaufenden Prozess zu etablieren. Auch die begleitenden Normen (ISO 27002 als Maßnahmenkatalog, ISO 27005 für Risikomanagement etc.) folgen diesem Zyklus. Das deutsche BSI hat in seinen Standards (BSI-Standard 100-1 bzw. neuerdings 200-1 zum Managementsystem) diesen Ansatz übernommen und spricht ebenfalls von Sicherheitsmanagement als Führungsaufgabe im Regelkreis Planen-Umsetzen-Prüfen-Verbessern. Durch diesen Ansatz soll eine kontinuierliche Verbesserung und Anpassung an neue Gefährdungslagen erreicht werden. ISO 27001 deckt allerdings primär IT- und Informationssicherheit ab; physische Sicherheitsaspekte oder Business Continuity werden nur am Rande erwähnt (letzteres wird in ISO 22301 für BCM vertieft). Trotzdem ist ISO 27001 in vielen Großunternehmen der Referenzstandard, auch weil er Zertifizierungen erlaubt und für Compliance (z.B. in KRITIS-Bereichen) häufig vorausgesetzt wird. Wichtig für unser Prozessmodell ist daher, das Risikomanagement-Prinzip und PDCA aus ISO 27001 zu übernehmen, jedoch den Scope auf alle Sicherheitsbereiche zu erweitern.

Neben ISO 27001 existieren weitere relevante Normen: ISO 22301 (Societal Security – Business Continuity Management Systems) definiert Anforderungen an Notfall- und Kontinuitätsmanagement, ebenfalls auf Basis PDCA. ISO 31000 liefert allgemeine Grundsätze für Risikomanagementprozesse, die auf Sicherheit anwendbar sind. Spezifischer ist ISO 27035 (Sicherheitsvorfall-Management) für die Reaktion auf Sicherheitsvorfälle. Für den physischen Sicherheitsbereich gibt es z.B. Normen wie ISO 18788 (Managementsystem für Sicherheitsoperationen – allerdings eher für private Sicherheitsdienstleister) oder ISO 28000 (Supply-Chain-Security). Auch branchenspezifische Standards spielen eine Rolle: etwa VdS-Richtlinien (z.B. VdS 3473 als Cyber-Security-Standard für den Mittelstand), die B3S-Standards (Branchen-Sicherheitsstandards) für KRITIS-Sektoren in Deutschland, oder regulatorische Vorgaben wie die MaRisk (Mindestanforderungen an Risikomanagement, z.B. für Banken) und die darauf aufbauenden IT-Regeln der BaFin (BAIT, VAIT etc.), welche implizit ein Informationssicherheits- und Risikomanagement verlangen. Diese Vielfalt an Standards zeigt, dass Unternehmen oftmals mehreren Regelwerken zugleich genügen müssen. Ein Vorteil eines konsistenten Prozessmodells wäre, diese Anforderungen abzubilden und zu harmonisieren, sodass Doppelarbeit vermieden wird und alle Kriterien erfüllt werden.

In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Grundschutz einen umfassenden Leitfaden zur Umsetzung von Informationssicherheit veröffentlicht. Der IT-Grundschutz enthält einen Katalog von Bausteinen und Maßnahmen, der es Unternehmen erleichtert, Schritt für Schritt ein ISMS aufzubauen, ebenfalls auf Basis des PDCA-Zyklus. Für Unternehmenssicherheit im weiteren Sinne (über IT hinaus) gibt es seit kurzem den Ansatz Wirtschaftsgrundschutz, der vom Verband ASW Bundesverband in Zusammenarbeit mit dem BSI entwickelt wurde. Der Wirtschaftsgrundschutz adaptiert das PDCA-Modell auf alle Schutzbereiche der Unternehmenssicherheit. Laut ASW basiert das Prozessmodell der Unternehmenssicherheit „auf einem zyklischen System, das auf kontinuierliche Verbesserung ausgerichtet ist“ und ausdrücklich an das international anerkannte PDCA-Modell angelehnt ist.

• Kontext der Organisation: Das Unternehmen analysiert seinen individuellen Kontext (interne und externe Einflussfaktoren, z.B. soziales, politisches, rechtliches Umfeld, Stakeholder-Anforderungen, Bedrohungslage) und leitet hieraus den Bedarf für Sicherheitsmaßnahmen ab. Dies stellt sicher, dass das Sicherheitsmanagement an den Unternehmenszielen und dem Umfeld ausgerichtet wird.

• Führung und Verpflichtung: Die Unternehmensleitung trägt Verantwortung für die Sicherheit. Dazu gehören die Festlegung von Sicherheitsleitlinien (Regelwerke), Zuweisung von Rollen und Verantwortlichkeiten (Rollen), sowie Bereitstellung von Ressourcen (Budget, Personal) und Verankerung des Themas auf höchster Ebene. Führung bedeutet auch, einen Sicherheitslenkungskreis oder ähnliche Gremien einzurichten, in denen regelmäßig die Sicherheitslage berichtet und strategische Entscheidungen getroffen werden. Top-Management-Kommittent ist ein entscheidender Erfolgsfaktor.

• Planungs- und Steuerungsprozesse: Darunter fallen alle Prozesse, um systematisch Sicherheitsziele zu setzen, Risiken zu analysieren und Maßnahmen zu planen. Im Prozessmodell werden hier insbesondere die Schritte Schutzbedarfsfeststellung (Identifikation von Schutzobjekten wie kritische Anlagen, Daten, Prozesse), Ableitung von Schutzzielen (z.B. angestrebtes Sicherheitsniveau für Vertraulichkeit, Integrität, Verfügbarkeit) und Entwicklung von Schutzkonzepten genannt. Dies entspricht der Plan-Phase im PDCA: auf Basis der Gefährdungsanalyse werden Sicherheitsmaßnahmen konzipiert.

• Umsetzung (Do): Die tatsächliche Umsetzung bzw. der Betrieb der Sicherheitsmaßnahmen erfolgt in verschiedenen Bereichen. Der Wirtschaftsgrundschutz nennt hier übergreifende Aspekte (z.B. organisatorische Grundlagen), Mitarbeiter (personelle Sicherheitsmaßnahmen, Schulungen), Infrastruktur (bauliche/technische Schutzvorkehrungen), Interessengruppen (Sicherheit in Zusammenarbeit mit Partnern, Dienstleistern) sowie Wissen & Produkte (Schutz von Know-how, Produktsecurity) und Reaktionsmanagement (Vorfall- und Krisenreaktion). Diese Aufzählung verdeutlicht, dass Sicherheitsmaßnahmen breit gefächert sein müssen – von technischen Maßnahmen, organisatorischen Prozessen bis hin zu logistischen Vorkehrungen – und sämtliche Assets des Unternehmens (Mitarbeiter, Infrastruktur, Informationen, Lieferkette) einbeziehen.

• Kontrolle und Überprüfung (Check): Ein effektives Sicherheitsmanagement beinhaltet kontinuierliches Monitoring der Sicherheitslage und Kontrollprozesse. Das Modell sieht etwa ein Kontrollsystem vor, Kennzahlen bzw. Messindikatoren zur Wirksamkeit von Sicherheitsmaßnahmen sowie interne oder externe Audits und Management-Reviews. So werden z.B. regelmäßige Reports erstellt (Sicherheitsberichte), Sicherheitsvorfälle ausgewertet und das Erreichen der Schutzziele überprüft. Dieser Schritt entspricht der Check-Phase im PDCA.

• Verbesserung und Anpassung (Act): Basierend auf den Ergebnissen der Überprüfung werden erforderliche Verbesserungen implementiert. Das können Aktualisierungen von Maßnahmen (z.B. Schließen festgestellter Lücken, Erhöhen des Schutzstandards in bestimmten Bereichen) oder die Aktualisierung von Dokumentation und Richtlinien sein. Somit wird ein Regelkreis geschlossen, der zurück in die Planung führt. Die Sicherheitsorganisation soll das Prozessmodell so definieren, dass eine kontinuierliche Verbesserung sichergestellt ist.

Zusätzlich definiert der Wirtschaftsgrundschutz themenübergreifende Prozesse, die als dauerhafte Unterstützungsprozesse laufen. Dazu zählen z.B. das Sicherheitsrisikomanagement (laufende Risikoanalyse und -bewertung), die Behandlung von Sicherheitsvorfällen (Incident Response Management), Berechtigungsmanagement (Zugriffssteuerung für Systeme und Bereiche) sowie Schulung und Sensibilisierung der Mitarbeiter. Solche Prozesse sind nicht einmalig, sondern kontinuierlich und greifen dem PDCA-Zyklus unter die Arme (z.B. Risikomanagement versorgt die Planungsphase mit Input, Schulungen fließen in die Do-Phase etc.).

• Ganzheitlichkeit: Sicherheitsmanagement muss alle Facetten – Menschen, Technik, Organisation – berücksichtigen und in bestehende Unternehmensprozesse integrieren.

• Top-Down-Ansatz: Ohne Commitment und Vorgaben der Unternehmensleitung (Security Governance) lässt sich kein wirksames System etablieren. Sicherheitsziele müssen aus der Geschäftsstrategie abgeleitet werden.

• Risikobasierung: Grundlage aller Sicherheitsmaßnahmen ist eine solide Risiko- und Gefährdungsanalyse (Schwachstellen identifizieren, Bedrohungen bewerten, Risiken priorisieren). Dies entspricht gesetzlichen Forderungen (z.B. KonTraG) und gängigen Standards.

• Kontinuierlicher Verbesserungsprozess: Der PDCA-Regelkreis soll sicherstellen, dass Sicherheitsmanagement kein einmaliges Projekt ist, sondern ein dauerhafter Prozess der Anpassung an veränderte Bedingungen. Neue Bedrohungen (z.B. neuartige Cyberangriffe) oder Änderungen im Unternehmen (neue Standorte, neue IT-Systeme) müssen in den Zyklus einfließen.

• Dokumentation und Nachweisbarkeit: Standards wie ISO erfordern umfangreiche Dokumentation (Policies, Berichte, Nachweise von Maßnahmen). Dies dient nicht nur internen Zwecken, sondern auch externen Audits und behördlichen Nachweispflichten. Ein strukturiertes Prozessmodell erleichtert es, nichts Wichtiges zu vergessen.

• Integration bestehender Managementsysteme: In großen Unternehmen existieren oft etablierte Managementsysteme (z.B. Qualitätsmanagement nach ISO 9001, Umweltmanagement nach ISO 14001). Es ist sinnvoll, Synergien zu nutzen, z.B. indem man Methoden aus dem QM (etwa PDCA, Dokumentationsstruktur) auf die Sicherheitsorganisation überträgt. Einige Unternehmen integrieren Sicherheitsmanagement ins vorhandene Integrierte Managementsystem, um Dopplungen zu vermeiden.

In der wissenschaftlichen Literatur finden sich weitere Modelle, die die Unternehmenssicherheit strukturieren. Müller (2015) etwa beschreibt in seinem Handbuch Unternehmenssicherheit eine dreidimensionale Sicherheitspyramide und ein Vorgehensmodell (RiSiKo-Management-Pyramide V), welche die Bereiche Sicherheit, Kontinuität und Risikomanagement miteinander verknüpfen. Dieser Ansatz betont, dass Sicherheitsmanagement nicht isoliert betrachtet werden darf, sondern immer im Kontext des Kontinuitätsmanagements (BCM) und des betrieblichen Risikomanagements zu sehen ist. Dazu werden Sicherheitsanforderungen aus gesetzlichen, normativen und geschäftspolitischen Vorgaben abgeleitet und in einem ganzheitlichen Maßnahmen- und Konzeptportfolio umgesetzt. Auch hier tauchen ähnliche Elemente auf: Sicherheitsstrategie, Richtlinien, organisationale Verankerung, gefolgt von Maßnahmenebene und operativer Umsetzung – bis hin zu Kennzahlen und kontinuierlicher Weiterentwicklung.

Weitere praxisorientierte Frameworks kommen aus dem Bereich Corporate Security Management und ASIS International (ein internationaler Sicherheitsfachverband). ASIS propagiert z.B. den Ansatz des Enterprise Security Risk Management (ESRM), der Sicherheitsrisiken als Bestandteil des Enterprise Risk Management behandelt und darauf aufbauend Prozesse definiert (Identify – Assess – Mitigate – Monitor). Dieser Ansatz ähnelt dem PDCA, legt aber besonderen Wert auf die Risikokultur und die Einbindung der Unternehmensführung in Entscheidungsprozesse.

Ein konsistentes Prozessmodell sollte sich an bewährten Strukturen orientieren – insbesondere dem PDCA-Zyklus – und folgende Schichten abdecken: Strategie/Governance, operative Kernprozesse der Gefährdungsanalyse und Maßnahmenumsetzung, sowie unterstützende Querschnittsprozesse (z.B. Schulung, Incident Response). Die Herausforderung besteht darin, die verschiedenen Facetten (IT, physisch, Personal, etc.) unter einen Hut zu bringen und zugleich Anforderungen aus Gesetzen und Normen zu erfüllen. Die gewonnenen Erkenntnisse bilden die Grundlage für das im nächsten Kapitel entwickelte eigene Prozessmodell der Unternehmenssicherheit.

Das Modell orientiert sich am PDCA-Zyklus und integriert die verschiedenen Ebenen und Prozesse, die für ein ganzheitliches Sicherheitsmanagement erforderlich sind. Ziel ist ein konsistentes und übertragbares Modell, das als Blaupause dienen kann und an unterschiedliche Unternehmen (branchenunabhängig) angepasst werden kann.

Grundstruktur: Das Prozessmodell gliedert sich in vier Hauptelemente auf, die hierarchisch und zyklisch miteinander verknüpft sind . An oberster Stelle stehen die Rahmenbedingungen und Führungsprozesse (Context & Governance), welche den Handlungsrahmen für die Sicherheit setzen. Darunter liegt der zyklische Kernprozess (PDCA) des Sicherheitsmanagements, unterteilt in die Phasen Planen, Umsetzen, Überprüfen und Anpassen. Begleitend wirken Querschnittsprozesse (Support-Prozesse), die themenübergreifende Aufgaben kontinuierlich erfüllen. Diese drei Ebenen werden im Folgenden detailliert beschrieben, bevor anschließend die grafische Darstellung und eine Tabelle mit allen Prozessen präsentiert werden.

• Orientierung an PDCA: Wie in Kapitel 3 herausgearbeitet, garantiert der Plan-Do-Check-Act-Regelkreis einen kontinuierlichen Verbesserungsprozess. Das Modell übernimmt diese vierphasige Logik und ordnet alle sicherheitsrelevanten Aktivitäten einer Phase zu. Dadurch wird sichergestellt, dass das System dynamisch bleibt und auf Änderungen reagiert.

• Integration von Governance-Aspekten: Weil Management Commitment und klare Strukturen erfolgsentscheidend sind, enthält das Modell explizite Elemente für Sicherheitsstrategie, Organisation und Kontrolle. Diese rahmengebenden Elemente sorgen für Verankerung des Themas auf Führungsebene und laufendes Monitoring.

• Risikobasiertes Vorgehen: Jeder Zyklus beginnt mit einer Analyse der Risikolage und Kontextfaktoren des Unternehmens. Das Modell fordert eine formale Gefährdungsanalyse zu Beginn der Planungsphase, um sämtliche Maßnahmen begründen zu können.

• Umfassender Geltungsbereich: Das Modell ist so konzipiert, dass es sämtliche Sicherheitsdomänen (analog zu Abschnitt 2) einschließt. Es spricht daher nicht isoliert von „IT-Sicherheitsprozess“ oder „Werkschutzprozess“, sondern allgemeiner von Maßnahmen, die je nach Bereich spezifisch auszugestalten sind. So können z.B. in der Umsetzungsphase IT-Maßnahmen (Firewalls, Berechtigungen) parallel zu physischen Maßnahmen (Zutrittskontrolle, Wachdienst) geplant und ausgeführt werden – beide werden aber als Teil desselben Unternehmenssicherheits-Prozesses gesehen.

• Modularität und Übertragbarkeit: Jedes Unternehmen kann unterschiedliche Schwerpunkte haben. Das Modell definiert Hauptprozesse und Unterprozesse, die modular angepasst werden können. Beispielsweise ist „Schulung & Sensibilisierung“ als ein Querschnittsprozess vorgesehen – falls ein Unternehmen hier bereits ein etabliertes Programm (etwa im Arbeitsschutz oder Compliance) hat, kann es integriert oder angepasst werden. Durch Modularität bleibt das Modell handhabbar und nicht übermäßig starr.

• Compliance-Verankerung: Bei jedem Prozessschritt wird berücksichtigt, welche gesetzlichen oder normativen Anforderungen relevant sind (siehe Kapitel 6). Das Modell verweist explizit darauf, z.B. in der Plan-Phase die „Stand der Technik“-Anforderungen (nach DSGVO Art. 32 oder §8a BSIG) einzuhalten, oder in der Check-Phase die Berichtspflichten (z.B. Vorfallmeldung an BSI nach BSIG) zu berücksichtigen. So wird gewährleistet, dass die Umsetzung des Modells gleichzeitig Erfüllung wesentlicher Pflichten bedeutet.

Nachfolgend wird das Prozessmodell tabellarisch erläutert.

Die Tabelle zeigt die wichtigsten Elemente des Prozessmodells der Unternehmenssicherheit. Diese orientieren sich an bewährten Modellen, insbesondere dem Wirtschaftsgrundschutz, und wurden um branchenspezifische und regulatorische Aspekte ergänzt.

Durch dieses Modell wird Transparenz geschaffen, welche Schritte im Sicherheitsmanagement durchlaufen werden müssen. Große Unternehmen können es als Referenz nutzen, um ihre bestehenden Sicherheitsprozesse zu überprüfen und gegebenenfalls Lücken zu schließen. Beispielsweise lässt sich mithilfe der Tabelle feststellen, ob es formalisierte Prozesse für alle Bereiche gibt (häufig existieren z.B. technische IT-Schutzmaßnahmen, aber es fehlt an formalen Reviews oder an strategischer Kontextanalyse – das Modell würde diese blinden Flecken aufdecken).

Ein Prozessmodell entfaltet seinen Nutzen erst, wenn es praktisch gelebt und in die bestehenden Unternehmensabläufe integriert wird. In diesem Kapitel wird beschrieben, wie das entwickelte Modell in Großunternehmen implementiert werden kann, welche organisatorischen Verankerungen nötig sind und wie die Verzahnung mit verwandten Funktionen (insbesondere dem Risikomanagement und der Unternehmensführung) aussehen sollte.

Zentral für die Einbettung ist die Einrichtung einer geeigneten Governance-Struktur für Sicherheit. Idealerweise wird – je nach Größe und Risikoexposition des Unternehmens – eine Corporate-Security-Abteilung geschaffen, die direkt an den Vorstand bzw. die Geschäftsführung berichtet. Ein Chief Security Officer (CSO) oder vergleichbarer Sicherheitsverantwortlicher sollte benannt werden, um die Gesamtkoordination zu übernehmen. Dieser CSO muss über ausreichende Weisungsbefugnis verfügen, um sicherheitsrelevante Vorgaben in allen Unternehmensbereichen durchzusetzen (z.B. auch gegenüber IT, Facility Management, HR etc.).

In der Praxis richten viele Großunternehmen einen Sicherheitsausschuss ein, der bereichsübergreifend besetzt ist: Hier sitzen Vertreter aus allen relevanten Abteilungen (IT, Personal, Recht/Compliance, Produktion, Logistik, etc.) sowie ggf. aus dem Betriebsrat und es wird regelmäßig über Sicherheitsfragen beraten. So ein Gremium – oft Security Steering Committee genannt – fördert die Integration des Sicherheitsmanagements in die Fachbereiche. Es bildet die operative Schnittstelle zwischen der zentralen Sicherheitsorganisation und den dezentralen Einheiten. Beispielsweise können im Sicherheitsausschuss aktuelle Risiken (z.B. neue Cyberbedrohungen oder physische Vorfälle an Standorten) diskutiert und gemeinsame Maßnahmen beschlossen werden.

Prozesse in die Abläufe integrieren: Jedes im Modell definierte Prozess-Element sollte klar einem Verantwortlichen oder einer bestehenden Routine im Unternehmen zugeordnet werden.

• Die Kontextanalyse und Risikoanalyse (Plan-Phase) kann in bestehende Planungszyklen eingebunden werden, etwa jährlich im Rahmen der strategischen Unternehmensplanung oder des Enterprise Risk Management (ERM) Prozesses. Unternehmen mit etabliertem Risikomanagement nach KonTraG können die Sicherheitsrisiken als eigene Kategorie in das Risk-Inventory aufnehmen und im Quartals-Risikoreport an den Vorstand inkludieren.

• Sicherheitsziele sollten Bestandteil der Unternehmensziele bzw. des internen Kontrollsystems sein. Einige Konzerne verankern z.B. KPI zum Sicherheitsniveau in ihren Balanced Scorecards oder Management-by-Objectives Systemen. So wird gewährleistet, dass Führungskräfte Sicherheit als Leistungsparameter wahrnehmen.

• Die Umsetzung der Maßnahmen (Do) lässt sich in die bestehenden Betriebsabläufe integrieren, indem man Sicherheitskontrollen als Teil von Standardprozessen definiert. Zum Beispiel: In der Personalverwaltung wird ein definierter Prozessschritt für Background-Checks neuer Mitarbeiter eingeführt; im IT-Betrieb wird Change Management nur mit Security-Freigabe durchgeführt; im Facility Management gehören Zugangskontrollprozesse zum Routinebetrieb bei Empfang und Schlüsselverwaltung. Das Prozessmodell dient hier als Referenz, was alles berücksichtigt werden muss, die konkrete Umsetzung wird in die jeweiligen Abläufe eingebettet.

• Überprüfung und Reporting (Check): Viele Unternehmen haben bereits interne Audit-Abteilungen oder Compliance-Prüfungen. Hier sollte das Sicherheitsmanagement fest eingeplant sein – z.B. als jährliches internes Audit nach ISO 27001 oder Überprüfung von physischen Sicherheitsmaßnahmen durch Arbeitssicherheitsteams. Die Ergebnisse fließen in bestehende Management-Reviews. Ein Ansatz ist, einmal pro Jahr einen Sicherheitsbericht an den Vorstand zu erstellen (oft vom CSO), analog zum Finanzbericht oder Qualitätsbericht. Dieser kann im Audit Committee oder Risikoausschuss des Aufsichtsrats behandelt werden, was die Bedeutung unterstreicht.

• Verbesserungsmaßnahmen (Act) sollten in Projektform umgesetzt werden, wenn sie umfangreich sind, und mit dem Budgetierungsprozess verknüpft werden. Beispielsweise wenn die Check-Phase ergibt, dass ein Upgrade des Videoüberwachungssystems nötig ist, muss das in die Investitionsplanung. Hier zahlt es sich aus, wenn Sicherheit im Unternehmen nicht als isolierte Aktion gesehen wird, sondern Teil von Change-Management-Prozessen ist.

Kultur und Awareness: Ein oft unterschätzter Aspekt der Integration ist die Sicherheitskultur. Prozesse allein genügen nicht, wenn die Mitarbeiter nicht dahinterstehen. Daher sollte das Prozessmodell auch in weiche Faktoren eingebettet sein: Schulungen, Kommunikationskampagnen, Vorbildfunktion des Managements. Sicherheitsbewusstsein muss Teil des „Tone at the Top“ sein. Wenn z.B. die Geschäftsführung regelmäßig in Ansprachen die Bedeutung der Sicherheitsrichtlinien betont und Schulungen selbst durchläuft, wird dies auf die Mitarbeiterebene ausstrahlen. Eine Möglichkeit ist auch, Anreize zu schaffen: etwa Sicherheit als Bestandteil der Leistungsbeurteilung von Führungskräften (so dass sie motiviert sind, Sicherheitsziele zu erreichen).

Verzahnung mit dem Risikomanagement: Da Unternehmenssicherheit eng mit Risikomanagement verbunden ist, sollte das Prozessmodell nicht isoliert stehen. Praktisch empfiehlt es sich, Sicherheitsrisiken im zentralen Risikomanagement-System zu führen. Viele Großunternehmen haben softwaregestützte Risk-Management-Systeme; der CSO (bzw. seine Risk Manager) sollten dort Risiken wie „Cyberangriff“, „Sabotage“, „Diebstahl geistigen Eigentums“ etc. als eigene Risikoszenarien pflegen – inklusive Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe. So kann eine Gesamtrisikobetrachtung stattfinden. Ein Vorteil: Maßnahmen der Unternehmenssicherheit lassen sich dann als Risk Mitigation Actions im Risk Register dokumentieren. Außerdem fordert z.B. die Norm ISO 27001 eine Information Security Risk Assessment, was hierüber abgedeckt wird.

Darüber hinaus sollte das Krisenmanagement eng verzahnt sein: Viele Firmen haben separate Business Continuity Pläne (z.B. für IT-Ausfall, Gebäudeausfall). Diese sollten in das Sicherheitsmanagement eingebunden werden, da die Auslöser oft sicherheitsrelevant sind (Cyberattacke, Bombendrohung etc.). Ein integrierter Krisenstab deckt idealerweise sowohl BCM-Szenarien (z.B. Naturkatastrophe) als auch Security-Vorfälle (z.B. Anschlag) ab. Dadurch vermeiden Unternehmen Doppelstrukturen und stellen konsistente Reaktionen sicher.

Prozess-Schnittstellen: Das Modell hat Schnittstellen zu zahlreichen Unternehmensprozessen:

• Personalprozess: Vom Onboarding (Sicherheitsunterweisung neuer Mitarbeiter, IT-Berechtigungsvergabe) bis Offboarding (Entzug von Zutrittskarten, NDA-Erinnerungen) müssen Sicherheitsprozesse fest verankert sein.

• Lieferantenmanagement: Sicherheitsanforderungen sollten Teil der Lieferantenauswahl und -bewertung sein. Beispielsweise kann man vertraglich Sicherheitsstandards fordern (ähnlich wie die Automotive-Branche via TISAX InfoSec-Standards von ihren Zulieferern verlangt). Der Querschnittsprozess „externe Parteien“ im Modell deckt dies ab.

• Produktentwicklung: In Branchen wie Maschinenbau oder Software muss Security „by design“ in den Entwicklungsprozess integriert werden (Stichwort: Secure Development Lifecycle). Das Prozessmodell kann als Leitfaden dienen, welche Sicherheitsschritte (z.B. Threat Modelling, Penetration Testing) im Produktprozess vorgesehen werden sollen.

• Finanz- und Reportingprozesse: Da Sicherheitsinvestitionen oft hoch sind, sollten sie im Finanzcontrolling sichtbar gemacht werden. Manche Unternehmen definieren ein Sicherheits-Budget und tracken es ähnlich wie IT-Kosten. Zudem fließen Sicherheitsthemen vermehrt in Nachhaltigkeitsberichte oder Lageberichte ein (Stichwort: ESG-Kriterien, wo „S“ für Social/Security stehen kann). Die Governance sollte dafür sorgen, dass Kennzahlen aus dem Sicherheitsmanagement in diese offiziellen Berichte eingehen – insbesondere bei KRITIS-Unternehmen wird das durch Regulierung verstärkt eingefordert.

Change-Management bei der Einführung: Wenn ein Unternehmen dieses Prozessmodell neu einführen will, bedeutet das meist Veränderung bestehender Strukturen. Best Practices empfehlen, dies wie ein Projekt mit klarer Leitung, Meilensteinen und Change-Management-Plan aufzusetzen. Die Mitarbeiter müssen über Zweck und Nutzen informiert werden, um Akzeptanz zu schaffen. Pilotbereiche können helfen (z.B. zuerst im Headquarters die Prozesse komplett ausrollen, dann auf internationale Standorte erweitern). Auch eine schrittweise Einführung parallel zum bestehenden System kann sinnvoll sein. Wichtig ist, dass es eine klare Entscheidung des Top-Managements gibt, das Modell umzusetzen – und dass entsprechende Ressourcen bereitgestellt werden (ggf. externe Beratung, Tool-Unterstützung für Risikoregister oder Incident-Management-Software etc.).

Es soll die Einbettung erreichen, dass Sicherheitsmanagement ein integraler Bestandteil der Unternehmensführung wird – vergleichbar der Qualitätssicherung oder dem Finanzcontrolling. Nur dann wird das Prozessmodell nicht als bürokratische Übung gesehen, sondern als wertschöpfender Prozess, der zur Sicherung der Geschäftsziele beiträgt. Unternehmen, die dies erfolgreich umgesetzt haben, berichten oft von einem Kulturwandel: Sicherheit wird dann als gemeinsame Verantwortung wahrgenommen und nicht nur als Aufgabe der Sicherheitsabteilung.

Unternehmen unterliegen einer ganzen Reihe von gesetzlichen, regulatorischen und normativen Anforderungen im Sicherheitskontext. Ein tragfähiges Prozessmodell muss diese Anforderungen berücksichtigen und deren Erfüllung unterstützen.

Seit dem IT-Sicherheitsgesetz von 2015 und dessen Weiterentwicklung (IT-SiG 2.0 in 2021) sind Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) gesetzlich verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von IT-Sicherheitsvorfällen zu treffen und erhebliche Vorfälle an das BSI zu melden. Branchen, die unter diese KRITIS-Definition fallen, sind z.B. Energie, Wasser, Ernährung, Gesundheit, Finanzwesen, Transport/Verkehr etc. (definiert in der BSI-Kritisverordnung mit Schwellenwerten). Für diese Unternehmen schreibt §8a BSI-Gesetz ein Informationssicherheits-Managementsystem (ISMS) vor, dessen Umsetzung regelmäßig geprüft werden muss (alle zwei Jahre ist ein Audit/Prüfbericht an das BSI zu übermitteln). Praktisch wird hier meist ein ISO 27001-Zertifikat oder BSI-Grundschutz-Zertifikat gefordert, um die Einhaltung nachzuweisen. Unser Prozessmodell deckt die Anforderungen eines ISMS vollumfänglich ab: Durch die PDCA-Struktur, Risk Assessments, Dokumentation und regelmäßige Checks erfüllt es die Kriterien der ISO 27001, was gleichzeitig die KRITIS-Vorgaben erfüllt. Integration ins Modell: KRITIS-Unternehmen würden insbesondere in der Plan-Phase sicherstellen, dass alle branchenspezifischen „Standardsicherheitsmaßnahmen“ implementiert sind, z.B. die in branchenspezifischen Sicherheitsstandards (B3S) definierten Controls. In der Check-Phase ist die Auditierung (intern/extern) zur KRITIS-Compliance ein fester Bestandteil.

Neben KRITIS-Betreibern definierte das IT-SiG 2.0 auch Unternehmen im besonderen öffentlichen Interesse (UBI), die keine KRITIS sind, aber dennoch aus Sicht der Bundesrepublik schützenswert (z.B. große Rüstungshersteller, gewisse Großunternehmen nach volkswirtschaftlicher Bedeutung, und Unternehmen mit gefährlichen Chemieanlagen). Diese UBI hatten eigene Pflichten wie Registrierung beim BSI, Abgabe von Selbsterklärungen zur IT-Sicherheit und Meldepflichten. Das Modell adressiert solche Anforderungen in ähnlicher Weise: eine UBI müsste z.B. im Rahmen der Act-/Check-Phase jährlich eine Management-Erklärung zum Sicherheitsstand erstellen (als Vorbereitung der Selbsterklärung) und Incident-Handling-Prozesse so aufsetzen, dass meldepflichtige Vorfälle erkannt und gemeldet werden können. Ab 2024 werden UBI-Pflichten allerdings mit der Umsetzung der neuen NIS2-Richtlinie integriert und ausgeweitet – was bedeutet, dass mehr große Unternehmen (auch außerhalb klassischer KRITIS) unter ähnlich strenge Security-Vorgaben fallen. NIS2 wird branchenweit Mindeststandards in der Cyber- und physischen Sicherheit verlangen, welche das Prozessmodell beachtet (z.B. Risikoanalysen, Maßnahmenkataloge, Nachweise gegenüber Behörden). Unser Modell stellt hier ein Werkzeug zur NIS2-Umsetzung dar, da es die geforderten Prozesse – etwa Risikoanalyse, Incident Response, regelmäßige Audits – implementiert.

Weitere einschlägige Gesetze: Das BSI-Gesetz in §8a fordert "Stand der Technik"-Sicherheitsmaßnahmen für KRITIS – im Modell stellen wir sicher, dass in der Plan-Phase technische Maßnahmen nach Stand der Technik berücksichtigt werden. Das Energiewirtschaftsgesetz und ähnliche branchengesetze verweisen für kritische Systeme oft direkt auf ISO 27001 oder BSI-Grundschutz – das Modell würde dem entsprechen. Ein potentielles zukünftiges KRITIS-Dachgesetz (im Gespräch, noch 2025 erwartet) soll ganzheitlich die Sicherheit in Unternehmen regeln. Unsere Arbeit kann hier bereits als Vorgriff dienen, wie ein unternehmensweites Sicherheitsmanagement ausgestaltet sein sollte.

Die EU-Datenschutz-Grundverordnung (DSGVO) adressiert in Art. 32 explizit die Sicherheit der Verarbeitung personenbezogener Daten. Unternehmen müssen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen u.a. Zugangskontrollen, Pseudonymisierung und Verschlüsselung, Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur Wiederherstellung von Daten nach Zwischenfällen. Diese Anforderungen überschneiden sich stark mit allgemeinen IT-Sicherheitsmaßnahmen. In unserem Modell wird die Erfüllung der DSGVO-Anforderungen durch mehrere Aspekte sichergestellt:

• Im Risk Assessment werden auch Risiken für personenbezogene Daten betrachtet; bei hohem Risiko schreibt DSGVO zudem eine Datenschutz-Folgenabschätzung (Art. 35) vor – diese kann in den Plan-Prozess integriert werden.

• Die technischen Maßnahmen (Do-Phase) wie Verschlüsselung, Berechtigungsmanagement etc. sind ausdrücklich im Modell vorgesehen und decken somit Art. 32 Abs. 1 lit. a und b ab.

• Die Notfallpläne und Wiederanlaufprozeduren (Teil des BCM) erfüllen lit. c (Wiederherstellungsfähigkeit).

• Das regelmäßige Testen und Evaluieren von Maßnahmen (Pen-Tests, Audits in Check-Phase) erfüllt lit. d von Art. 32 (Wirksamkeitsüberprüfung).

• Zudem stellt die Dokumentation im Modell sicher, dass Nachweise für die Einhaltung vorhanden sind (wichtig falls eine Aufsichtsbehörde Prüfungen vornimmt).

Zwar nicht immer im Mittelpunkt von Corporate Security, aber gesetzlich ebenso relevant sind Arbeitssicherheitsgesetze (ArbSchG) und z.B. das ProdSG (Produktsicherheitsgesetz). Das Arbeitsschutzgesetz verlangt Gefährdungsbeurteilungen für die Gesundheit der Mitarbeiter und definierte Verantwortlichkeiten. Interessant ist hier der Aspekt der Organisationspflicht: Arbeitgeber müssen eine geeignete Organisation bereitstellen, sonst drohen Haftungsfolgen. Das deckt sich mit dem Erfordernis einer strukturierten Sicherheitsorganisation. Oft werden in Unternehmen Arbeitssicherheit und Unternehmenssicherheit abgestimmt – z.B. kann der Sicherheitsbeauftragte eng mit der Fachkraft für Arbeitssicherheit zusammenarbeiten, etwa bei Evakuierungsplänen (die sowohl für Unfall/Brand als auch für Anschlagszenarien gelten). Unser Modell ist kompatibel, da es zum Beispiel im Querschnitt „Schulung & Sensibilisierung“ auch Unterweisungen im Arbeitsschutz integrieren könnte, oder gemeinsame Risikoanalysen stattfinden (Sicherheitsrisiken und Arbeitsschutzrisiken überschneiden sich teilweise bei Themen wie betriebliches Notfallmanagement). Branchenspezifisch gibt es Vorschriften (z.B. die sogenannte BetrSichV für den Umgang mit Gefahrstoffen/Anlagen); im Modell würden diese im Kontext der jeweiligen Risikoanalyse auftauchen und entsprechende technische Maßnahmen (z.B. Zugriffsschutz zu Gefahrstofflagern) eingeplant werden.

Jede Branche hat bestimmte Sicherheitskultur-Ausprägungen.

• Finanzsektor: Banken und Versicherer müssen die Anforderungen der Aufsicht (BaFin) erfüllen, z.B. IT-Sicherheitsanforderungen (BAIT/VAIT) und MaRisk. Diese fordern u.a. ein funktionierendes Informationssicherheitsmanagement inkl. Chief Information Security Officer (CISO) und regelmäßiger Risiko-Reports an die Geschäftsleitung. Das vorgestellte Modell liefert diesen Rahmen. Spezifisch für Banken sind Stresstests, Notfallübungen (die auch die EZB teils vorgibt) – diese würden im Check/Act-Bereich des Modells stattfinden.

• Industrie/Produktion: Hier gewinnt industrial security an Bedeutung, insbesondere Schutz von Industrie 4.0 Anlagen (Stichwort: OT-Security, Norm IEC 62443). Ein branchenspezifischer Aspekt ist, dass Anlagensicherheit (Maschinenschutz, funktionale Sicherheit) mit IT-Security kombiniert werden muss. Unser Modell kann z.B. im Plan-Schritt Schutzobjekte auch Produktionsanlagen als eigene Kategorie behandeln, für die Schutzziele wie Ausfallsicherheit festgelegt werden. IEC 62443 könnte als Detailstandard im Do-Schritt herangezogen werden.

• Gesundheitswesen: Krankenhäuser und Pharmaunternehmen handhaben Patientendaten und sind KRITIS im Gesundheitssektor. Neben IT-Security (ISO 27001 oder B3S Klinikstandard) spielt Datenschutz und Patientensicherheit eine Rolle. Das Modell ist flexibel genug, um z.B. im Querschnitt einen speziellen Datenschutzprozess vorzusehen (Zusammenarbeit mit Datenschutzbeauftragtem).

• Chemie und Versorger: Diese Unternehmen haben oft ausgeprägte Krisenstäbe (etwa für Störfälle) – das Modell betont ohnehin Krisenmanagement. Ein branchenspezifischer Standard ist z.B. das CBIS (Chemical Biological Incident Security) oder Vorgaben der Störfall-Verordnung. In Plan-Phase werden hier diese Vorschriften als Anforderungen aufgenommen.

Viele Unternehmen streben offizielle Zertifizierungen an, um Vertrauen zu schaffen oder Compliance zu zeigen – z.B. ISO 27001 (für Kunden/Nachweis), ISO 22301 (Business Continuity) oder ISO 9001 (Qualität, mit Schnittstellen zur Sicherheit). Das Prozessmodell ist so gestaltet, dass es eine gemeinsame Basis für mehrere Zertifizierungen sein kann. Durch PDCA und Dokumentationspflicht ist der Grundstein gelegt. Unternehmen könnten z.B. ein Integriertes Managementsystem betreiben, das sowohl Qualität, Umwelt, Arbeitssicherheit als auch Security abbildet – auf einer gemeinsamen Plattform. So werden Auditprozesse gebündelt und Synergien genutzt. Eine Herausforderung hierbei ist oft, dass unterschiedliche Abteilungen zuständig sind (z.B. IT für ISO 27001, Facility für Physische Sicherheit, HR für Arbeitsschutz). Hier kommt wieder der Governance-Gedanke ins Spiel: alle müssen ins gleiche System arbeiten. Das Modell erleichtert es, da es für alle eine gemeinsame Sprache bietet und Überschneidungen sichtbar macht.

Insgesamt erfüllt das Prozessmodell die meisten regulatorischen Soll-Vorgaben „by design“. Es bietet eine Art Compliance-Framework: Wenn ein Unternehmen dieses Modell vollständig umgesetzt hat, wird es die Kernforderungen von BSI-Gesetz, DSGVO, ISO-Normen etc. automatisch erfüllen. Natürlich müssen branchenspezifische Details immer noch konkret ausgearbeitet werden – aber sie fügen sich in die vorhandene Struktur ein (z.B. zusätzliche Controls oder Dokumente an bestimmter Stelle). In der Diskussion (Kapitel 7) wird noch einmal beleuchtet, wo in der Praxis Schwierigkeiten bei der Erfüllung solcher Vorgaben liegen und wie Unternehmen diese meistern können.

Die Implementierung eines umfassenden Prozessmodells für Unternehmenssicherheit ist ein anspruchsvolles Unterfangen. In diesem Kapitel werden Herausforderungen erörtert, die in der Praxis häufig auftreten. Anschließend werden Erfolgsfaktoren benannt – also Bedingungen, die erfahrungsgemäß zum Gelingen beitragen. Schließlich werden Praxisbeispiele und Szenarien betrachtet, um die zuvor entwickelten Konzepte greifbar zu machen.

• Silos und Kompetenzstreitigkeiten: Große Unternehmen sind oft in Abteilungen und Fachbereiche unterteilt, die historisch gewachsen sind. Sicherheitsthemen werden fragmentiert behandelt (IT-Abteilung für Cybersecurity, Werkschutz in Facilities, Compliance/Legal für Datenschutz etc.). Die Einführung eines einheitlichen Modells erfordert, diese Silos aufzubrechen und klare bereichsübergreifende Prozesse zu etablieren. Dies stößt manchmal auf Widerstand, wenn Bereiche Befugnisse abgeben sollen oder unterschiedliche Sicherheitskulturen herrschen. Beispiel: Die IT-Abteilung könnte Bedenken haben, dass ein zentraler CSO in technische Belange reinredet, während der CSO die IT für nicht sicher genug hält. Hier müssen Governance und Ausschussstrukturen (siehe Kap. 5) mit Fingerspitzengefühl etabliert werden, um Kooperation statt Konkurrenzdenken zu fördern.

• Ressourcen- und Budgetfragen: Sicherheitsmaßnahmen kosten Geld und binden Personal. Gerade wenn die Bedrohung abstrakt wirkt (z.B. „noch nie ist etwas Schlimmes passiert“), gibt es intern oft Rechtfertigungsdruck, warum investiert werden soll. Einige Unternehmen betrachten Sicherheit als Kostenstelle ohne direkten Profit. Das ist eine kulturelle Hürde. Ein Weg, sie zu nehmen, ist über Risikokalkulation und Szenarien: Was wäre der Schaden bei einem bestimmten Vorfall (z.B. Produktionsstillstand, Imageschaden) – und stehen die präventiven Kosten dazu im Verhältnis? Diese Business-Case Betrachtung sollte Teil der Risikoanalyse sein, um das Top-Management zu überzeugen. Nichtsdestotrotz bleibt Budgetkonkurrenz eine Herausforderung, insbesondere in wirtschaftlich schwierigen Zeiten, wo Sicherheitsbudgets gern gekürzt werden (was in Umfragen tatsächlich viele Firmen angeben).

• Komplexität und Bürokratie: Ein Modell wie hier vorgestellt, kann – wenn falsch umgesetzt – zu einem sehr bürokratischen Überbau führen. Zig Dokumente, Formulare, Meetings, die am Ende lähmen statt nutzen. Mitarbeiter könnten die Sicherheitsprozesse als hinderlich für ihr Tagesgeschäft empfinden (z.B. langwierige Zugriffsgenehmigungen, viele Schulungen). Die Kunst ist, das System schlank zu halten und an die Unternehmensgröße anzupassen. Ein 60-seitiges Sicherheits-Handbuch liest niemand – entscheidend ist, dass die wesentlichen Abläufe klar geregelt sind und Hilfsmittel (Checklisten, Tools) zur Verfügung stehen, die den Mitarbeitern das Einhalten erleichtern.

• Dynamik der Bedrohungen: Sicherheitsmanagement ist wie ein bewegliches Ziel. Bedrohungslagen ändern sich rasant – man denke an die Explosion von Ransomware-Angriffen in den letzten Jahren, oder an neue Gefahren wie gezielte Sabotage kritischer Infrastruktur (z.B. die Sabotage von Bahnkabeln, die den Zugverkehr störte). Ein statisches Modell wird diesen Wandel nicht abbilden. Herausforderung ist also, das System selbst lebendig zu halten. Das PDCA-Prinzip trägt dem Rechnung – aber nur, wenn es konsequent umgesetzt wird. Manche Unternehmen erstellen anfangs ein Risikoregister, aktualisieren es aber nicht regelmäßig; oder sie führen zwar Incident Response ein, üben aber nie den Ernstfall. Somit bleiben sie bei einem Papiertiger. Hier braucht es Disziplin und oft initiale externe Impulse (bspw. regelmäßige Audits von außen), um den Prozess „im Lauf“ zu halten.

• Compliance vs. Security-Reality Gap: Unternehmen könnten versucht sein, das Modell rein für Compliance-Zwecke aufzusetzen – d.h. nur, um Haken an Prüflisten zu machen (ISO-Zertifikat erlangen, Auditor zufriedenstellen), ohne echtes Sicherheitsdenken dahinter. Das führt dazu, dass auf dem Papier alles gut aussieht, aber in der Realität die Sicherheitskultur mangelhaft ist. Ein Indikator ist z.B., wenn Mitarbeiter zwar die Policy unterschrieben haben, aber sich im Alltag nicht daran halten (etwa Passwörter notieren, Notausgänge verstellt halten etc.). Diese Lücke zwischen Schein und Sein zu schließen, ist schwierig. Es erfordert engagierte Sicherheitsverantwortliche, die ins Feld gehen und mit allen Ebenen im Gespräch bleiben, plus Unterstützung vom Management, um Regeln auch durchzusetzen (z.B. Abmahnungen bei groben Verstößen, was unangenehm sein kann).

• Management Commitment und Vorbildfunktion: Dieser oft genannte Erfolgsfaktor kann nicht genug betont werden. Wenn die Geschäftsleitung Security als Chefsache behandelt und sichtbar dahintersteht (z.B. persönlich an wichtigen Sicherheitsmeetings teilnimmt, in Kommunikationen Priorität gibt), wirkt sich das enorm positiv aus. Dazu gehört auch, Verantwortlichkeiten klar zu benennen: Jede Führungskraft muss wissen, wofür sie in Sachen Sicherheit verantwortlich ist. Ein greifbares Beispiel: Einige Unternehmen führen Safety/Security Walks des Vorstands ein – d.h. Vorstände gehen gelegentlich durchs Werk und prüfen Sicherheitsvorkehrungen persönlich. Das signalisiert Bedeutung.

• Sicherheitskultur und Awareness: Technisch-organisatorische Maßnahmen entfalten nur Wirkung, wenn die Menschen sie mittragen. Ein guter Sicherheitskultur-Indikator ist, ob Mitarbeiter bereit sind, Vorfälle zu melden. Wenn eine Kultur der Angst oder Gleichgültigkeit herrscht, werden Incidents vertuscht oder ignoriert – was das Modell unterläuft. Erfolgreiche Firmen schaffen Vertrauen, dass Meldungen nicht zu Schuldzuweisungen führen, sondern zur Verbesserung (Just Culture). Ebenso investieren sie in Awareness-Programme: regelmäßige Schulungen, E-Learnings, phantasievolle Kampagnen (z.B. Phishing-Tests mit anschließender Aufklärung). Manche führen interne Wettbewerbe oder Anerkennungen ein, z.B. „Sicherheitsidee des Monats“.

• Integration statt Isolation: Security sollte kein Fremdkörper sein, sondern Teil der täglichen Geschäftsprozesse. Das wird erreicht, wenn Sicherheitsaspekte in alle Projekte und Entscheidungen frühzeitig eingebunden werden (Prinzip „Security by Design“). Ein Best Practice ist z.B. die Sicherheitsprüfung als fester Bestandteil des Change Managements in der IT: Kein neues System ohne Security-Abnahme. Oder im Immobilienbau: Security wird in Planungsphase neuer Standorte involviert. So vermeidet man teure Nachrüstungen oder Risiken, die erst im laufenden Betrieb auffallen.

• Messbarkeit und Erfolgskommunikation: „You can’t manage what you can’t measure.“ Erfolgreiche Programme haben einige KPIs definiert, um Fortschritt sichtbar zu machen. Z.B.: Anteil der kritischen Systeme mit erfolgreichem Notfalltest, Reduktion der Vorfallzahlen, Abschlussquote von Schulungen, Audit-Ergebnisse, finanzielle Verluste durch Sicherheitsvorfälle etc. Diese Zahlen helfen, intern zu argumentieren und Maßnahmen zu steuern. Wichtig ist auch, Erfolge zu kommunizieren: Wenn z.B. ein gut funktionierendes Incident Response Team einen größeren Schaden verhindern konnte, sollte das intern (und manchmal extern) bekannt gemacht werden, um zu zeigen, dass sich Investitionen lohnen. Eine Kenngröße aus einer PwC-Studie besagt, dass 80% der deutschen Unternehmen Sicherheit inzwischen als geschäftsfördernd ansehen, nicht als Hemmnis. Das ist ein Wandel im Mindset, der durch kontinuierliche Erfolgskommunikation befördert wird.

• Kontakte und Kooperationen: Kein Unternehmen muss alles allein stemmen. Netzwerke mit Branchenverbänden, Behörden und der Sicherheitscommunity sind Gold wert. In Deutschland gibt es etwa die Allianz für Sicherheit in der Wirtschaft (ASW) und Wirtschaftsschutz-Partnerschaften mit Behörden. Der Austausch dort liefert aktuelle Hinweise auf Bedrohungen und Lösungen. Ebenso sollten Firmen Mitglied in Informations-Sharing-Verbünden sein (z.B. CERT-Verbund, Branchen-CERTs). Das Prozessmodell sollte daher offene Schnittstellen nach außen haben – z.B. definierte Ansprechpartner zu Behörden für Krisenfälle, Teilnahme an Lageinformationen (BSI-Lageberichte etc.). Ein Praxisbeispiel: Viele KRITIS-Betreiber nehmen an branchenspezifischen Alarmübungen teil, die vom BSI oder BMI organisiert werden, um die Meldewege zu testen. Solche Kooperationen stärken die Fähigkeit, mit großflächigen Krisen umzugehen.

• Beispiel 1: Cyberangriff auf Industrieunternehmen. Ein deutsches Produktionsunternehmen (Großunternehmen, Automotive-Zulieferer) wird Opfer einer komplexen Cyberattacke, ähnlich dem bekannten Fall des Stahlwerks 2014, bei dem Hacker einen Hochofen manipulierten. In unserem Unternehmen verschlüsseln Angreifer zentrale Serversysteme (Ransomware) und drohen, interne Daten zu veröffentlichen. Wie greift hier das Prozessmodell? Vorbeugend hätte die Plan-Phase ein hohes Risiko für Produktionsausfall durch Cyberangriff identifiziert und entsprechende Maßnahmen im Do umgesetzt: z.B. Netzwerksegmentierung zwischen Office-IT und Produktions-IT, regelmäßige Offline-Backups, Incident Response Plan inkl. Notfallkommunikation. In der Check-Phase wären Penetrationstests durchgeführt worden, die evtl. Schwachstellen aufzeigten. Wenn der Angriff dennoch passiert, greift der Incident- und Krisenreaktionsprozess: Das CSIRT (Computer Security Incident Response Team) wird aktiviert (Querschnittsprozess), der Krisenstab tritt zusammen (CSO, CIO, Produktion, PR). Dank vorher definierter Pläne weiß jeder, was zu tun ist – z.B. ob externen Incident-Response-Spezialisten hinzugezogen werden, wie mit der Erpressungsforderung umzugehen ist, welche Behörden zu informieren sind (BSI, evtl. Polizei). Durch Backup- und Recovery-Pläne (Teil der Do-Maßnahmen) kann die Produktion vielleicht innerhalb 2 Tagen wieder anlaufen, wodurch der Schaden begrenzt bleibt. Nach dem Vorfall würde in der Act-Phase alles aufgearbeitet: Schwachstellen (z.B. ein ungepatchter VPN-Zugang) werden behoben, Mitarbeiter erhalten erneut Schulungen (falls Phishing die Ursache war), der Vorfallbericht fließt in die nächste Risikoanalyse ein. Dieses Beispiel zeigt: Mit dem Prozessmodell ist man besser gewappnet, aber man muss auch tatsächlich alle Phasen durchlaufen haben, um resilient zu sein. Ohne zuvor geübte Notfallpläne kann ein solcher Angriff katastrophal enden (es gab Fälle, wo Unternehmen wochenlang stillstanden).

• Beispiel 2: Physische Sabotage und Personalbedrohung. Stellen wir uns ein Unternehmen im Energiesektor vor, etwa einen großen Übertragungsnetzbetreiber (Stromnetz). Angesichts der geopolitischen Lage kommt es vermehrt zu Sabotageakten an Infrastrukturen. Eines Nachts werden wichtige Kommunikationskabel gezielt durchtrennt, wodurch regionale Stromausfälle drohen. Gleichzeitig erhält das Unternehmen anonyme Drohschreiben gegen Schlüsselpersonal. Modellwirkung: In der Plan-Phase war „physische Sabotage“ als Szenario bewertet und man hat Maßnahmen definiert: z.B. erhöhter Perimeterschutz an kritischen Knoten, engere Zusammenarbeit mit Polizei (Wirtschaftsschutz-Kontakte) und Krisenkommunikationspläne. Die Umsetzung (Do) bedeutete Installation von Sensorik an den Kabeltrassen, Alarmierungssysteme und ein Unternehmensalarmplan. In der Nacht erkennt man den Ausfall durch Sensoren schneller, das Notfallteam schaltet redundant auf Backup-Leitungen. Die Krise wird gemanagt, indem der Krisenstab Behörden involviert und koordinierte Öffentlichkeitsarbeit startet, um Panik zu vermeiden. Gleichzeitig greift der Personenschutz-Plan für das bedrohte Personal (temporäre Bewachung ihrer Wohnhäuser, Info an Familien). Hier zahlt sich aus, wenn in friedlichen Zeiten solche Pläne erarbeitet wurden. Nach dem Ereignis wird in der Act-Phase evaluiert: Genügten die Sicherungen? Muss der Objektschutz weiter verstärkt werden? Eventuell fließen die Erkenntnisse auch an den Gesetzgeber zurück (in Form von Empfehlungen für neue Sicherheitsauflagen im KRITIS-Sektor).

• Beispiel 3: Compliance-Vorfall (Datenschutz). Ein großes eCommerce-Unternehmen in Deutschland stellt fest, dass über Monate hinweg ein interner Mitarbeiter Kundendaten unerlaubt kopiert und verkauft hat (Insider Threat). Datenschutzaufsichtsbehörde und Kunden sind alarmiert. Anwendung Modell: Dieser Vorfall deckt evtl. einen Prozessmangel im Sicherheitsmanagement auf – möglicherweise war das Berechtigungsmanagement oder Monitoring unzureichend. Hat das Unternehmen unser Modell eingesetzt, sollte bereits in Plan-Phase das Risiko Insider Threat betrachtet worden sein und in Do-Phase Maßnahmen wie strenges Berechtigungskonzept und Logging implementiert worden sein. Auch hätte man definierte Reaktionen: Meldung an Datenschutzbehörde binnen 72h (DSGVO Art.33) – was im Check-Prozess vorgesehen war – und interne Untersuchungen. Erfolgsfaktor ist hier ein gutes Kontrollsystem (Check-Phase): Hätte man ungewöhnliche Datenabflüsse früher erkennen können? So ein Fall zeigt, dass trotz Prozessmodell menschliche kriminelle Energie nicht völlig auszuschließen ist. Aber das Modell sorgt dafür, dass zumindest die Reaktion professionell abläuft: der Schaden wird begrenzt, Vertrauen wird eventuell durch transparente Kommunikation gerettet, und der Mitarbeiter wird konsequent zur Rechenschaft gezogen. Aus dem Vorfall lernt man in der Act-Phase, z.B. zukünftig verstärkt auf das Vier-Augen-Prinzip zu setzen bei kritischen Datenzugriffen und regelmäßige Mitarbeiterkontrollen (sofern zulässig) durchzuführen. Manche Firmen führen daraufhin sog. UEBA-Systeme ein (User Entity Behavior Analytics), die anormales Verhalten erkennen – was dann wieder in der Do-Phase eine neue Maßnahme wäre.

Lernende Organisation: Abschließend sei angemerkt, dass Unternehmenssicherheit ein lernender Prozess sein muss. Herausforderungen wie die genannten können gemeistert werden, wenn das Unternehmen bereit ist, aus Fehlern zu lernen und sich laufend anzupassen. Erfolgreiche Sicherheitsorganisationen zeichnen sich durch Flexibilität und Proaktivität aus: Sie antizipieren zukünftige Herausforderungen (z.B. neue Regulierung wie NIS2, neue Technologien wie KI in der Sicherheitsüberwachung, veränderte Arbeitsmodelle wie Homeoffice) und passen das Sicherheitskonzept frühzeitig an.

Gerade die letzten Jahre – Pandemie, zunehmende Cyberangriffe, politische Spannungen – haben gezeigt, dass Sicherheit kein statisches Ziel ist, sondern ein dauernder Weg, der eng mit dem Unternehmenserfolg verbunden ist. Unternehmenssicherheit ist letztlich Chefsache, Querschnittsaufgabe und Dauerauftrag zugleich. Das hier entwickelte Prozessmodell soll einen Weg weisen, diese Aufgabe systematisch und erfolgreich zu bewältigen.