Sicherheitsmanagement Kontinuität Risikopolitik

Bei der Umsetzung von Sicherheits-, Kontinuitäts- und Risikomanagement in Unternehmen spielen Normen, Standards und Gesetze eine wesentliche Rolle. Sie geben einen Orientierungsrahmen vor und definieren Best Practices, an denen sich Organisationen ausrichten können. Im Folgenden werden einige der wichtigsten normative und rechtliche Vorgaben vorgestellt:

• ISO 22301 „Security and resilience – Business continuity management systems“: Dieser internationale Standard legt die Anforderungen an ein Managementsystem für Geschäftskontinuität (BCMS) fest. ISO 22301 ermöglicht es Organisationen, die Auswirkungen unvorhergesehener Zwischenfälle zu minimieren, indem sie Bedrohungen verstehen und sich gegen Risiken wappnen. Die Norm fordert u. a. eine systematische Analyse des Unternehmensumfelds, Business Impact Analysen (BIA), Notfall- und Wiederanlaufpläne sowie regelmäßige Übungen und Verbesserungsprozesse. Durch die Implementierung von ISO 22301 können Organisationen ihre Widerstandsfähigkeit stärken und eine strukturierte Krisenreaktion gewährleisten. ISO 22301 basiert – wie viele ISO-Managementnormen – auf der High Level Structure und dem PDCA-Zyklus (Plan – Do – Check – Act). In Deutschland ist der Standard als DIN EN ISO 22301:2019 veröffentlicht. Unternehmen können sich von unabhängigen Stellen nach ISO 22301 zertifizieren lassen, um die Konformität ihres BCM-Systems nachzuweisen.

• ISO 31000 „Risikomanagement – Leitlinien“: ISO 31000:2018 bietet prinzipienbasierte Leitlinien für das Risikomanagement in Organisationen. Die Norm definiert einen umfassenden Ansatz zur Identifizierung, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken. Sie betont, dass Risikomanagement in die Führungs- und Entscheidungsprozesse integriert werden sollte. Obwohl ISO 31000 kein zertifizierbarer Standard ist (sondern eine Guideline), bildet sie doch ein weltweit anerkanntes Rahmenwerk, an dem Unternehmen ihre Risikomanagementsysteme ausrichten können. In Deutschland liegt eine übersetzte Fassung als DIN ISO 31000:2018 vor. Kernelemente von ISO 31000 sind die Risikomanagement-Prinzipien (z. B. wertschaffend, integraler Bestandteil der Organisation, auf beste verfügbare Information gestützt), ein Framework zur Verankerung in der Unternehmensführung und ein standardisierter Prozess von der Risikoidentifikation bis zum Monitoring. Die Anwendung dieses Leitfadens erhöht die Wahrscheinlichkeit, dass Unternehmen ihre Ziele erreichen, da Risiken und Chancen bewusster gemanagt werden.

• ISO/IEC 27001 „Information Security Management Systems“: Für die Informationssicherheit sei hier ISO 27001 erwähnt, auch wenn der Fokus dieser Arbeit nicht allein auf IT-Security liegt. ISO/IEC 27001 fordert einen systematischen Ansatz zum Schutz vertraulicher Informationen, zur Sicherstellung ihrer Integrität und Verfügbarkeit. Ein ISMS nach ISO 27001 basiert ebenfalls auf einer Risikobeurteilung und enthält Maßnahmen (Controls), um identifizierte Sicherheitsrisiken zu behandeln. In kritischen Bereichen überschneiden sich Informationssicherheits- und Unternehmenssicherheitsmanagement (z. B. im Schutz vor Cyberkriminalität). Für Organisationen – gerade bei sogenannten Kritischen Infrastrukturen – ist ISO 27001 oder ein vergleichbares Schema (wie der BSI IT-Grundschutz in Deutschland) ein wichtiger Baustein des Sicherheitsmanagements.

• BSI-Standards (Deutschland): Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat praxisnahe Standards entwickelt, die sich insbesondere an öffentlichen Sektor und Kritische Infrastruktur-Betreiber richten, aber auch allgemein anwendbar sind.

• BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) – ein Leitfaden zum Aufbau eines ISMS in Anlehnung an ISO 27001.

• BSI-Standard 200-2: IT-Grundschutz-Methodik – ein Standardwerk mit Vorgehensweisen und Bausteinen zur Umsetzung von Sicherheitsmaßnahmen.

• BSI-Standard 200-3: Risikoanalyse auf Basis von IT-Grundschutz – bietet Methoden zur Risikoanalyse, insbesondere für Fälle, in denen die Grundschutz-Kataloge nicht direkt anwendbar sind.

• BSI-Standard 200-4: Business Continuity Management (Notfallmanagement) – neu veröffentlicht 2023 als Ersatz für den älteren Standard 100-4. Dieser Standard liefert eine praxisnahe Anleitung zum Aufbau und Betrieb eines Notfall- und Kontinuitätsmanagementsystems. Ein großer Vorteil des BSI-200-4 ist, dass er so gestaltet wurde, dass Organisationen damit direkt die Anforderungen der internationalen Norm ISO 22301 erfüllen können. Durch Umsetzung des BSI-Standards 200-4 kann eine Organisation also nicht nur robuste Notfallpläne etablieren, sondern sich auch eine ISO-22301-Zertifizierung erarbeiten. Der BSI-Standard 200-4 ist modular und branchenspezifisch anpassbar und steht im Einklang mit anderen Managementsystemen (er kann eigenständig genutzt oder in ein bestehendes ISMS/Risikomanagement integriert werden).

• DIN-Normen und weitere Standards: Neben der Übernahme internationaler ISO-Normen als DIN gibt es einige rein nationale Normen oder Branchenstandards, die im Sicherheitsmanagement relevant sind. Beispiele: DIN ISO 45001 für Arbeits- und Gesundheitsschutzmanagement (wichtiger Aspekt der Sicherheit), DIN VDE-Normen für Sicherheitstechnik (z. B. DIN VDE 0833 für Gefahrenmeldeanlagen) oder VdS-Standards (Verband der Sachversicherer) etwa zur Sicherung von Gebäuden und Feuerschutz. Auch internationale Frameworks wie COSO ERM (für Enterprise Risk Management) oder ITIL/ISO 20000 (für IT-Servicekontinuität) können je nach Kontext herangezogen werden. In der vorliegenden Arbeit bleiben diese allerdings im Hintergrund, da der Fokus auf übergreifenden, betriebsweiten Ansätzen liegt.

• Aktiengesetz §91 Abs. 2 (KonTraG): In Deutschland hat insbesondere das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG, 1998) die Bedeutung des Risikomanagements rechtlich verankert. Durch eine Änderung von §91 Abs. 2 AktG wurden Vorstände von Aktiengesellschaften verpflichtet, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Faktisch verlangt dies, dass jedes börsennotierte Unternehmen ein unternehmensweites Risikofrüherkennungssystem einführt, das Risiken früh identifiziert und meldet. Diese Pflicht wurde später auch auf GmbHs mit Aufsichtsrat übertragen. Externe Abschlussprüfer müssen das Bestehen eines angemessenen Risikomanagementsystems prüfen und im Prüfungsbericht bestätigen. Das KonTraG hat somit Risiko-Management von einer freiwilligen guten Praxis zu einem Compliance-Thema gemacht – Manager können persönlich haftbar gemacht werden, wenn sie kein adäquates Risikomanagement unterhalten. Für die betriebliche Sicherheits- und Kontinuitätspolitik bedeutet das, dass entsprechende Risiken (z. B. Brandschäden, IT-Ausfälle, Haftungsfälle durch mangelhafte Sicherheit) systematisch erfasst und adressiert werden müssen, um gesetzlichen Pflichten zu genügen.

• Arbeitsschutz- und Sicherheitsgesetze: Aspekte des Sicherheitsmanagements finden sich auch in diversen weiteren Rechtsvorschriften. Das Arbeitsschutzgesetz (§3 ArbSchG) verpflichtet Arbeitgeber, Arbeitsschutzmaßnahmen zur Verbesserung von Sicherheit und Gesundheit der Beschäftigten zu treffen – was de facto ein Arbeitssicherheits-Management erfordert. Branchenbezogene Vorschriften (z. B. im Bereich der technischen Sicherheit, Chemikalien, Brandschutz, Versammlungsstättenverordnung etc.) setzen ebenfalls Mindeststandards an Sicherheit fest. Diese behördlichen Auflagen sind jedoch meist Minimalforderungen, die aus Gesetzen und Verordnungen abgeleitet sind. Ein Unternehmen, das umfassenden Schutz will, sollte über die bloße Erfüllung gesetzlicher Mindeststandards hinausgehen und im Eigeninteresse eine ganzheitliche Sicherheitsstrategie entwickeln. Trotzdem müssen die einschlägigen rechtlichen Pflichten (z. B. regelmäßige Unterweisungen, Prüfungen von Anlagen, Bestellung von Sicherheitsbeauftragten, Datenschutzgesetze für Informationssicherheit usw.) natürlich vollständig eingehalten werden – Compliance ist die Basis, auf der ein erweitertes Sicherheitsmanagement aufbaut.

• Kritische Infrastrukturen und branchenspezifische Regelungen: Unternehmen, die als Kritische Infrastruktur (KRITIS) gelten (z. B. Energieversorgung, Gesundheit, Transport, Finanzwesen), unterliegen zusätzlichen Anforderungen. In Deutschland regelt das BSI-Gesetz und zugehörige Verordnungen, dass KRITIS-Betreiber angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Vertraulichkeit ihrer IT treffen müssen (Nachweis durch Audits/Zertifizierungen, z. B. ISO 27001 oder BSI-Grundschutz). Auch müssen Notfallpläne vorhanden sein. Für Banken und Versicherungen schreiben Aufsichtsregeln (BaFin, Solvency) ein Risikomanagement einschließlich Notfallkonzepten vor. Diese speziellen Vorgaben sprengen den Rahmen dieser Arbeit, zeigen jedoch, dass in vielen Branchen Regulatoren ein hohes Sicherheits- und Resilienzniveau vorschreiben.

Tabelle 1: Auswahl wichtiger Normen und Gesetze für Sicherheits-, Kontinuitäts- und Risikomanagement.

Zusammenfassend lässt sich feststellen: Die normative Rahmenlandschaft fordert von Unternehmen zunehmend Professionalität im Umgang mit Risiken und Sicherheit. Standards wie ISO 22301 und ISO 31000 liefern methodische Blaupausen, um strukturierte Managementsysteme zu etablieren, während Gesetze wie das KonTraG und diverse Fachgesetze die rechtliche Verpflichtung schaffen, Risiken proaktiv zu steuern. Ein Unternehmen tut gut daran, diese Vorgaben nicht als Bürde, sondern als Chance zur Verbesserung zu begreifen. Durch die Implementierung anerkannter Standards können neben der Erhöhung der tatsächlichen Sicherheit auch Reputationsgewinne erzielt werden – etwa indem man Kunden, Partnern und Aufsichtsbehörden gegenüber die eigene Resilienz demonstriert (z. B. durch Zertifizierungen oder Audits). Letztlich bilden Normen und Gesetze das Fundament, auf dem ein individuelles Sicherheits-, Kontinuitäts- und Risikopolitik-Konzept im Unternehmen aufbaut.

Ein effektives Sicherheits- und Risikomanagement beginnt mit einer systematischen Risikoanalyse. Darunter versteht man den Prozess, alle relevanten Risiken für das Unternehmen zu identifizieren, zu bewerten und priorisieren, um darauf basierend Entscheidungen zu treffen. Die Risikoanalyse sollte idealerweise unternehmensweit erfolgen (Enterprise Risk Assessment) und sämtliche Bereiche – von strategischen Projekten über Finanzen bis hin zu operativen Aspekten wie Facility Management – einbeziehen.

• Risikoidentifikation : Zunächst werden potenzielle Risiken gesammelt. Dies kann durch Workshops, Brainstorming, Checklisten, Prozessanalysen, Auswertung vergangener Schadensfälle oder Szenario-Analysen geschehen. Wichtig ist, sowohl interne Risiken (z. B. technisches Versagen, Prozessfehler, Mitarbeiterverhalten) als auch externe Risiken (z. B. neue gesetzliche Auflagen, Marktveränderungen, Naturereignisse, kriminelle Handlungen) zu betrachten. Für das Facility Management bedeutet Risikoidentifikation z. B., alle gebäudebezogenen Gefahren wie Brand, Einbruch, Stromausfall, Heizungsausfall, Unfälle auf dem Gelände etc. systematisch zu erfassen.

• Risikobewertung : Die identifizierten Risiken werden analysiert hinsichtlich Eintrittswahrscheinlichkeit (Wie oft könnte das passieren? selten/häufig) und Schadenausmaß (Welche Folgen hätte es? gering/mittel/hoch). Viele Unternehmen nutzen eine Risikomatrix, um Risiken zu klassifizieren – etwa in Kategorien niedrig, mittel, hoch durch Kombination von Wahrscheinlichkeit und Auswirkung. Quantitative Methoden (z. B. statistische Ausfallraten, Monte-Carlo-Simulationen für finanzielle Risiken) können die Bewertung untermauern, sind aber nicht für alle Risiken verfügbar. Qualitative Einstufungen, ggf. anhand definierter Schwellenwerte, sind gängig. Hier fließt auch eine Business Impact Analyse (BIA) ein: Diese ermittelt speziell für BCM welche Geschäftsprozesse oder Ressourcen wie kritisch sind, d. h. welche maximal tolerierbare Ausfallzeit besteht, bevor erheblicher Schaden entsteht.

• Risikobewertung/Priorisierung : Im Anschluss werden die Risiken verglichen und priorisiert. Welche Risiken sind untragbar (z. B. solche, die existenzbedrohend wären oder sehr wahrscheinlich eintreten)? Welche sind vernachlässigbar? Oft wird ein Risikolevel berechnet (z. B. Risikowert = Eintrittswahrscheinlichkeit × Schadenshöhe), um eine Rangfolge zu erhalten. Das Management legt einen Risikotoleranzschwellenwert fest: Risiken oberhalb dieser Schwelle bedürfen zwingend Maßnahmen.

• Risikobehandlung : Für jedes wesentliche Risiko wird nun entschieden, wie damit umgegangen wird (siehe unten zur Risikopolitik und -strategie).

• Risikokommunikation und Überwachung : Die Ergebnisse werden an die Entscheidungsträger kommuniziert (z. B. in Form eines Risikoberichts oder Risk Registers). Es werden Verantwortliche benannt („Risk Owner“) für die Überwachung und Steuerung einzelner Risiken. Zudem wird ein Mechanismus etabliert, um Risiken kontinuierlich zu überwachen und die Analyse regelmäßig zu wiederholen bzw. zu aktualisieren (z. B. quartalsweise Risikoreviews, jährlicher Workshop oder als Bestandteil des strategischen Planungsprozesses). Risikomanagement ist kein einmaliger Akt, sondern ein kontinuierlicher Prozess, der in die wesentlichen Geschäftsprozesse integriert werden kann.

Im Kontext der betrieblichen Risikopolitik werden nun auf Basis der Analyse grundsätzliche Weichenstellungen getroffen. Die Risikostrategie beantwortet die Frage: Wie gehen wir als Unternehmen mit identifizierten Risiken um?

Tabelle 2: Typische Risikostrategien (Risk-Response-Optionen) mit Beispielen.

In der Praxis wird oft ein Mix von Risikobehandlungs-Optionen angewandt. Ein und dasselbe Risiko kann man z. B. teilweise reduzieren und den verbleibenden Teil versichern (überwälzen). Wichtig ist, dass die gewählte Strategie zur Risikoneigung des Unternehmens passt – eine risikofreudige Organisation wird eher mehr akzeptieren und weniger vermeiden, während eine risikomeidende Organisation aggressiv reduzieren oder vermeiden möchte. Die Risikopolitik formuliert diese Grundhaltung („Wir tolerieren keine Risiken, die Menschenleben gefährden könnten“ oder „Wir nehmen kalkulierte Risiken in Kauf, wenn die Geschäftschance es rechtfertigt“ etc.).

Nachdem die Strategie pro Risiko festgelegt ist, müssen konkrete Maßnahmen geplant und umgesetzt werden. Hier fließt das Risikomanagement nahtlos in das Sicherheits- und Kontinuitätsmanagement über: Viele Risikoreduktions-Maßnahmen sind klassische Sicherheitsmaßnahmen (z. B. technische Schutzsysteme, organisatorische Regelungen), und viele Risikobegrenzungs-Maßnahmen sind Teil des Continuity Plans (z. B. Notfallpläne, redundante Systeme). Es ist wichtig, jeder Maßnahme einen Verantwortlichen, ein Budget und einen Zeitrahmen zu geben und ihre Wirksamkeit zu überwachen (Risk Treatment Plan).

Ein Risikomanagement-Handbuch oder -Richtlinie hält die Risikopolitik schriftlich fest. Darin sollten enthalten sein: Ziele des Risikomanagements, Rollen (bspw. Risk Manager, Risk Owner für Bereiche), die verwendete Methodik (z. B. Risikomatrix Definitionen von „hoch/mittel/niedrig“), Berichtswege (an Geschäftsleitung, Aufsichtsrat) und Häufigkeiten der Überprüfung. So wird das Verfahren institutionalisiert.

Gerade im Facility Management sind Sicherheitsrisiken oft bereichsübergreifend: z. B. kann ein einfaches technisches Problem wie der Ausfall der Klimaanlage gleichzeitig Sachwerte (Serverraum-Überhitzung), Personen (Raumklima) und Betriebskontinuität (IT-Ausfall) betreffen. Daher muss die Risikoanalyse interdisziplinär erfolgen. Praktisch bieten sich Risk Workshops an, in denen z. B. Vertreter von FM, IT, Produktion, Compliance gemeinsam Risiken brainstormen, um Wechselwirkungen zu erkennen.

Nicht zuletzt soll erwähnt werden, dass Risikoanalyse nicht nur negative Szenarien betrachtet, sondern auch ein Bewusstsein für Chancen schafft. Unternehmensleitungen können entscheiden, bewusst zusätzliche Risiken einzugehen, wenn die Opportunität attraktiv ist – aber dann sollten sie entsprechende Notfallpläne haben, falls die Wette schiefgeht. So schlägt der Bogen wieder zum Sicherheits- und Kontinuitätsmanagement: Beides ermöglicht dem Unternehmen, mutig, aber abgesichert in unsicherem Fahrwasser zu navigieren.

In Summe liefert eine gründliche Risikoanalyse die Basis, um im Rahmen der Risikopolitik informierte Entscheidungen zu treffen. Voraussetzung dafür ist eine realistische Einschätzung der Risiken. Leider werden bestimmte Gefahren oft unterschätzt – etwa interne Risiken (Mitarbeiterfehlverhalten oder Insider-Bedrohungen) oder seltene, aber gravierende Ereignisse (Black Swans). Hier ist Bewusstsein bei den Entscheidern entscheidend. Entsprechend betont RiskNET: Voraussetzung für risikopolitische Entscheidungen ist der Abschluss der Risikoanalyse – erst wenn die Lage klar ist, kann die Geschäftsführung Ziele und Maßnahmen festlegen. Diese Ziele sollten dann konsistent sein und sich z. B. in Sicherheitsrichtlinien, einem Business Continuity Policy Statement und klaren Anweisungen niederschlagen.

Betriebliche Kontinuitätssicherung – im Englischen als Business Continuity Management (BCM) bezeichnet – umfasst alle Vorsorge- und Reaktionsmaßnahmen, mit denen ein Unternehmen sicherstellt, dass es auch bei gravierenden Störungen seine kritischen Geschäftsprozesse aufrechterhalten oder binnen kurzer Zeit wieder aufnehmen kann. Angesichts von Bedrohungen wie Naturkatastrophen (Feuer, Überschwemmungen), technischen Ausfällen (IT-Systemcrash, Stromausfall), personellen Engpässen (Pandemie) oder Lieferkettenbrüchen ist BCM heute essenzieller Bestandteil der Unternehmenssicherheit. BCM wird oft als ganzheitlicher Prozess beschrieben, der darauf abzielt, Unterbrechungen im Betrieb zu minimieren und den Fortbestand der Geschäftstätigkeit zu gewährleisten.

Ein strukturiertes Continuity Management folgt typischerweise einem Lifecycle mit den Phasen: Analyse – Strategie – Umsetzung – Übung – Überprüfung – Verbesserung (analog zum PDCA-Zyklus).

• Verankerung & BIA: Zu Beginn steht die Verankerung des BCM in der Organisation. Die Geschäftsleitung sollte eine BCM-Policy verabschieden, die Ziele (z. B. maximale Ausfallzeit X Stunden für kritische Prozesse) definiert und Verantwortlichkeiten festlegt (etwa einen Business Continuity Manager oder ein Krisenteam). Anschließend wird eine Business Impact Analyse (BIA) durchgeführt. Die BIA identifiziert alle geschäftskritischen Prozesse, Ressourcen und Abhängigkeiten. Für jeden relevanten Prozess wird ermittelt: Was sind die Auswirkungen eines Ausfalls (qualitativ und quantitativ, z. B. Umsatzverlust, Imageschaden)? Wie schnell muss er spätestens wieder laufen (das RTO – Recovery Time Objective)? Wie viele Datenverlust können wir maximal tolerieren (für IT: RPO – Recovery Point Objective)? Die BIA-Ergebnisse priorisieren welche Geschäftsbereiche die höchste Kontinuitätspriorität haben.

• Kontinuitätsstrategien entwickeln: Basierend auf der BIA werden Strategien festgelegt, um die Anforderungen zu erfüllen. Hierbei denkt man in Szenarien: Welche Lösungswege gibt es, um bei Ausfall von X den Betrieb weiterzuführen?

• Vorsorge/Prävention: Maßnahmen, die schon vorab die Wahrscheinlichkeit eines Ausfalls reduzieren. Diese überschneiden sich mit dem Sicherheitsmanagement. Z. B. regelmäßige Wartung von Maschinen (verringert Ausfallrisiko), zusätzliche Redundanz (redundante Komponenten, Parallelsysteme), Diversifikation (mehrere Lieferanten um Lieferausfall zu vermeiden). Auch bauliche Schutzmaßnahmen gegen Naturgefahren (Hochwasserschutz, Brandschutz) gehören dazu.

• Redundanz & Resilienz: Maßnahmen, die sicherstellen, dass bei Ausfall einer Komponente eine andere greift. Beispiele: Betrieb eines zweiten Rechenzentrums oder Cloud-Backups, die Live-Daten redundant vorhalten (Stichwort Geo-Redundanz); Einrichtung eines Notstandorts (Ausweichquartier) für die Mitarbeiter, falls der Hauptstandort unbenutzbar ist; Ausstattung kritischer Anlagen mit Notstromversorgung (USV, Dieselgeneratoren), sodass ein Stromnetz-Ausfall überbrückt werden kann. Redundanz erhöht die Robustheit, erfordert aber meist hohe Investitionen.

• Notfall- und Wiederanlaufplanung: Konkrete Notfallpläne (Incident Response Plans) werden erstellt für verschiedene Szenarien (z. B. IT-Ausfall, Brand im Gebäude, Pandemie). Diese Pläne beschreiben, wer im Krisenfall was zu tun hat. Z. B.: Alarmierungsketten, Evakuierungspläne, Kommunikationspläne (Pressearbeit, Mitarbeiterinfo), Backup-Prozeduren. Bestandteil ist oft die Einrichtung eines Krisenstabs oder Notfallteams, das im Ereignisfall die Koordination übernimmt. Des Weiteren werden Wiederanlaufpläne (Recovery Plans) ausgearbeitet, wie man den Normalbetrieb wiederherstellt. Im IT-Bereich spricht man hier vom Disaster Recovery Plan, der regelt, wie IT-Systeme aus Backups und Ersatzhardware wiederhergestellt werden, und in welcher Reihenfolge.

• Übergangslösungen:* Für die Zeit während einer Störung müssen ggf. Übergangsweisen etabliert werden („workarounds“). Beispiel: Wenn das IT-System ausgefallen ist, können Mitarbeiter auf manuelle Prozesse umsteigen (Papierformulare nutzen) oder mit Offline-Tools arbeiten, um zumindest die wichtigsten Aufgaben zu erledigen. Oder wenn ein Produktionsbereich ausfällt, könnte man in geringerer Kapazität auf einer anderen Linie produzieren. Solche Lösungen sollten vorab konzipiert werden.

• Externe Unterstützung & Partnerschaften: Manche Continuity-Strategien setzen auf externe Hilfe. Etwa Abkommen mit Dienstleistern für Notfallreparaturen (Service Level Agreements, dass binnen X Stunden ein Ersatzteillieferant reagiert). Oder Verträge mit Recovery-Dienstleistern, die im Notfall mobile Rechenzentren, Bürocontainer etc. bereitstellen.

• Versicherung als finanzielle Kontinuität: Finanzielle Absicherung, z. B. durch Betriebsunterbrechungsversicherungen, gehört ebenfalls zur Strategie. Sie verhindert zwar keinen Ausfall, aber mindert die finanziellen Folgen, was wichtig ist für die Überlebensfähigkeit nach einem schweren Schaden. Viele Versicherer verlangen im Gegenzug ein funktionierendes BCM, da so das Risiko gemindert wird – ein positiver Kreislauf (siehe Kapitel Wirtschaftlichkeit).

Tabelle 3: Beispiele für Bedrohungsszenarien und passende Continuity-Maßnahmen.

• Implementierung und Übungen: Sobald Strategien und Pläne definiert sind, geht es an die Umsetzung. Das bedeutet z. B. die technischen Einrichtungen installieren (Generator anschaffen, Datenbackup einrichten), Dokumentationen erstellen (Notfallhandbücher, Kommunikationslisten) und Mitarbeiter schulen, damit sie im Ernstfall wissen, was zu tun ist. Trainings und Sensibilisierung sind ein entscheidender Erfolgsfaktor – in der Stresssituation eines echten Notfalls müssen alle Beteiligten ihre Rolle kennen. Daher sollten Notfallübungen und Tests regelmäßig durchgeführt werden. Beispielsweise: ein jährlicher Notfalltest des IT-Disaster-Recovery-Plans (Ausfall des Hauptservers simulieren und Rückfall auf Backup testen); Evakuierungsübungen im Gebäude; oder eine Simulation eines Cyberangriffs, um die Reaktionsfähigkeit des Krisenteams zu prüfen. Solche Übungen decken Schwachstellen auf und verbessern die Routine im Ernstfall.

• Krisenmanagement und Kommunikation: Ein zentraler Aspekt der Kontinuitätssicherung ist das Krisenmanagement, das aktiviert wird, sobald ein größerer Vorfall eintritt. Das Unternehmen sollte ein Krisenteam benennen (üblich: Vertreter aus Geschäftsführung, Sicherheit, IT, Kommunikation, ggf. FM und Fachabteilungen), das im Notfall zusammentritt, Lagebewertungen vornimmt und Entscheidungen trifft. Wichtig ist die interne und externe Kommunikation: Wer informiert die Mitarbeiter über das weitere Vorgehen? Wie und wann informiert man Kunden, dass es evtl. Lieferverzögerungen gibt? Wer spricht mit Medien oder Behörden? Eine klare Kommunikationsstrategie verhindert Chaos und Reputationsschäden.

• Recovery und Wiederanlauf: Ist die akute Phase überstanden (Brand gelöscht, IT-System wiederhergestellt etc.), begleitet BCM auch den geordneten Übergang zurück zum Normalbetrieb. Hier muss man z. B. aufarbeiten, ob Rückstände entstanden sind (Produktion nachholen, Daten nacherfassen, Kundenversprechen einhalten) und ob psychosoziale Betreuung notwendig ist (nach traumatischen Ereignissen für Mitarbeiter). Auch das Lessons Learned gehört hierher: Nach jedem echten Vorfall sollte man evaluieren, was gut funktionierte und was verbessert werden muss.

Mit diesen Strategien und Maßnahmen zielt die Kontinuitätssicherung letztlich darauf ab, die Überlebensfähigkeit des Unternehmens in Krisenfällen zu garantieren. Die Effektivität zeigt sich oft erst im Ernstfall – und idealerweise bleibt dieser aus. Daher ist es manchmal schwierig für Entscheider zu erkennen, ob sich BCM „lohnt“. Doch man kann es mit Versicherungen vergleichen: Man merkt den Wert erst, wenn der Schaden eintritt. Studien haben gezeigt, dass beispielsweise der Ausfall von Produktion oder IT enorm teuer werden kann (siehe Kapitel 8). Hier ein prägnantes Beispiel: Schon ein ungeplanter Maschinenstillstand von nur einer Stunde kann in der Industrie Kosten von bis zu 260.000 USD (~220.000 €) verursachen, ein ganztägiger Ausfall leicht ein Vielfaches. Solche Zahlen unterstreichen, dass die Investition in Kontinuitätsmaßnahmen einen Bruchteil dieser potenziellen Verluste kostet und daher ökonomisch sinnvoll ist.

Ein wichtiger Trend in diesem Bereich ist die Entwicklung hin zu ganzheitlicher Resilienz. Dabei werden Business Continuity, Security und Risk Management immer enger verzahnt, um nicht nur einzelne Bereiche, sondern die gesamte Organisation widerstandsfähig zu machen. Die nächsten Kapitel betrachten, wie diese Integration – insbesondere ins Facility Management – aussehen kann.

Das Facility Management (FM) nimmt in Unternehmen eine Querschnittsfunktion wahr, die Infrastruktur, Gebäude, Services und oft auch Sicherheitstechnik umfasst. Hier laufen viele Fäden zusammen, die für Sicherheitsmanagement, Risikosteuerung und Kontinuität relevant sind. Eine Integration dieser Disziplinen ins FM bzw. eine enge Zusammenarbeit zwischen den entsprechenden Funktionen ist daher naheliegend und erstrebenswert.

Aktuell zeigt sich jedoch in vielen Organisationen ein Fragmentierungsproblem: Sicherheitsaufgaben werden teils dezentral behandelt (z. B. Arbeitsschutz in der HR-Abteilung, IT-Sicherheit in der IT, Objektschutz bei FM) und nicht einheitlich gemanagt. Das führt dazu, dass Schnittstellenrisiken entstehen – Lücken zwischen den Bereichen, die keiner so richtig im Blick hat. So wird z. B. die wirtschaftliche Folge von Sicherheitslücken in Gebäuden oft nicht umfassend bewertet und die organisatorische Verantwortung des Managements für Sicherheit vernachlässigt. Um dem abzuhelfen, sollte Sicherheitsmanagement im Unternehmen als übergeordnete Managementaufgabe verankert werden, die bei jeder Entscheidung mitbedacht wird.

• Organisatorische Verankerung: Unternehmen richten idealerweise integrierte Gremien oder Rollen ein. Beispielsweise kann ein Chief Risk Officer (CRO) oder ein Sicherheitsbeauftragter auf hoher Ebene installiert werden, der sowohl physische Sicherheit, BCM als auch Risikomanagement koordiniert. Alternativ wird ein Security Committee gebildet, dem Vertreter aus FM, IT, HR, Produktion etc. angehören, um regelmäßige Sicherheits- und Risiko-Reviews durchzuführen. Im Facility Management selbst könnten Risikomanager FM oder Continuity Manager FM benannt werden, die eng mit der zentralen Risk-Management-Einheit zusammenarbeiten. Wichtig ist, klar festzulegen, wer für die Integration sorgt – es braucht jemanden mit bereichsübergreifendem Mandat.

• Einheitliches Managementsystem: Anstatt für jeden Bereich ein isoliertes Managementsystem zu betreiben (ein separates ISMS, ein separates BCM, ein Arbeitssicherheitsmanagement), kann man ein integriertes Managementsystem anstreben. Beispielsweise ein Unternehmenssicherheitsmanagementsystem (USMS), das alle Teilaspekte bündelt. Müller (2018) definiert ein solches USMS als System, das die Einhaltung des angestrebten Sicherheits-, Kontinuitäts- und Risikoniveaus des Unternehmens laufend sicherstellt. Im Kern geht es darum, gemeinsame Prozesse und Dokumentationen zu nutzen: Ein einheitliches Risikoregister etwa, in das Sicherheitsrisiken ebenso eingetragen werden wie andere Risiken; ein gemeinsames Reporting an die Geschäftsleitung, das Security-Inzidenzen, Risk Dashboard und BCM-Kennzahlen zusammenführt; oder auch eine einheitliche Dokumentenlenkung für alle Notfall- und Sicherheitsdokumente. Dies schafft Transparenz und verhindert Doppelarbeit. Zudem kann man Synergien nutzen – z. B. eine Schulung zur Notfall-Evakuierung gleich mit einer Schulung zur Arbeitssicherheit kombinieren.

• Prozessintegration: Sicherheits-, Risiko- und Continuity-Aspekte sollten in die Kerngeschäftsprozesse eingebettet werden. Gerade im FM, das für den Betrieb von Gebäuden und Anlagen zuständig ist, ist dies essenziell. Zum Beispiel: Im Änderungsmanagement (Change Management) für Gebäude und technische Anlagen muss ein Risikocheck vorgesehen sein – jede Änderung (Umbau, neue Maschine) wird vorab auf Risiken geprüft (Gefährdungsbeurteilung, BCM-Auswirkung). In Beschaffungsprozessen sollte das Risikomanagement involviert sein, um etwa die Bonität von Lieferanten (Lieferantenausfallrisiko) zu bewerten oder Sicherheitsklauseln in Verträge aufzunehmen. Instandhaltungsprozesse sollten priorisiert nach Risiko erfolgen (kritische Anlagen häufiger warten). Indem man diese Querschnittsaspekte in die Abläufe integriert, erreicht man, dass Sicherheit und Kontinuität Teil des Tagesgeschäfts werden und nicht als separate Bürokratie wahrgenommen werden.

• Information und Daten teilen: Ein praktischer Vorteil der Integration liegt in der gemeinsamen Nutzung von Informationen. So können Ergebnisse der Risikoanalyse dem Facility Management helfen, gezielt Schwachstellen anzugehen – wenn z. B. das Risikomanagement meldet, dass ineffektive Prozesse im FM oft Ursache von Risiken sind, kann FM Prozesse verbessern. Umgekehrt liefert FM wertvolle Daten für Risikoanalysen, z. B. Wartungsberichte, Störfallstatistiken, Beinahe-Unfälle etc. Diese Daten sollten zusammengeführt werden. Moderne IT-Systeme – etwa integrierte GRC-Tools (Governance, Risk & Compliance Software) – können hier unterstützen, indem sie z. B. Meldungen von Sicherheitsvorfällen, Auditbefunde und Risikokataloge in einer Plattform vereinen.

• Ganzheitliche Gefahrenbetrachtung: Ein integrativer Ansatz verhindert den Fehler, Gefahren getrennt zu betrachten. Beispielsweise konvergieren digitale und physische Sicherheitsrisiken immer stärker. Ein Praxisbeispiel: Ein Hackerangriff (Cyber) könnte Alarmanlagen ausschalten, worauf ein physischer Diebstahl folgt – oder umgekehrt könnte ein physischer Eindringling IT-Systeme sabotieren. Offizielle Sicherheitsbehörden betonen daher: Digitale und physische Sicherheit dürfen nicht isoliert betrachtet werden; Unternehmen müssen ganzheitlich agieren. Dazu gehört auch, Lieferketten als Teil der Sicherheitsarchitektur zu sehen (Schwachstellen bei Zulieferern können eigene Sicherheit aushebeln). Im Facility Management, das oft auch für Drittleistersteuerung (z. B. Wachdienste, technische Dienstleister) zuständig ist, muss dies beachtet werden: Auswahl und Kontrolle von Dienstleistern müssen Sicherheitskriterien berücksichtigen (z. B. Zuverlässigkeitsüberprüfungen, vertragliche Notfallvorsorge).

• Checklisten & Audits: FM kann Sicherheits-Checklisten in regelmäßige Gebäudeinspektionen einbauen, um strukturiert organisatorische und technische Sicherheit zu prüfen. So werden Schwachstellen früh erkannt und können behoben werden, bevor ein Vorwurf der Verletzung der Organisationspflicht (der bereits erwähnten Organisationsverschuldung) entsteht.

• Ganzheitliche Risikoanalyse im FM: Das FM sollte Teil des Risikomanagement-Prozesses sein – das heißt, Risiken direkt vor Ort in den Prozessen erkennen. Oft treten Risiken genau an Schnittstellen auf, für die FM zuständig ist (z. B. Ausfall der Klimaanlage wirkt sich auf IT und Produktion aus). Integriert man RM ins FM, kann das FM-Team Risiken an der Entstehungsstelle einfangen.

• Planung und Projekte: Bei Neubau- oder Umbauprojekten kann ein integriertes Team aus FM, Security und Risk zusammenarbeiten, um Security-by-Design umzusetzen (z. B. Gebäudeplanung gleich mit Zutrittskontrollkonzept und Fluchtwegen abstimmen; IT-Infrastruktur mit Ausfallsicherheit planen). So spart man teure Nachrüstungen.

• Kultur und Awareness: Wenn FM-Mitarbeiter, die täglich im Gebäude präsent sind, für Sicherheits- und Risikothemen sensibilisiert sind, fungieren sie als Augen und Ohren der Organisation. Zum Beispiel meldet der Haustechniker ungewöhnliche Beobachtungen (fremde Personen, potenzielle Brandlasten) direkt weiter – das klappt besser, wenn er sich als Teil des Sicherheitskonzepts sieht, nicht nur als Techniker.

In vielen Unternehmen spielt das Facility Management auch eine leitende Rolle bei der Notfallkoordination: Etwa das Evakuierungsmanagement bei Feuer liegt in der Regel in den Händen des FM (Brandschutzbeauftragter), ebenso die technische Notfallausstattung (Notstrom, Löschtechnik). Hier ergeben sich natürliche Berührungspunkte mit BCM – ideal, wenn FM-Leute auch im Business-Continuity-Team sind und umgekehrt.

Abschließend ist festzuhalten: Eine erfolgreiche Integration erfordert Überwindung von Silodenken. In der Vergangenheit agierten Sicherheit, IT, FM, Risk Management oft in eigenen Zuständigkeitsblasen. Doch moderne Risiken sind komplex und verteilt. Ganzheitliches Denken und interdisziplinäre Teams sind daher der Schlüssel. Unternehmen, die eine umfassende Resilienz anstreben, bauen organisatorische Strukturen, in denen Sicherheit, Kontinuität und Risiko ineinandergreifen, anstatt in Konkurrenz um Ressourcen zu treten. Wie ein Vertreter des Verfassungsschutzes es formulierte: „Da unsere Gegner ganzheitlich operieren, müssen auch Wirtschaftsunternehmen ... ganzheitlich agieren.“ – Das heißt, alle Sicherheitsaspekte inkl. Lieferkette mitzudenken und Kooperation intern wie extern zu stärken. Das Facility Management ist hierfür ein natürlicher Knotenpunkt, da es ohnehin bereichsübergreifend arbeitet (Gebäude, Menschen, Technik) und so als Integrator dienen kann.

Für ein wirksames betriebliches Sicherheitsmanagement braucht es eine angemessene organisatorische Verankerung, klar definierte Prozesse sowie den gezielten Einsatz moderner Technologien. In diesem Kapitel wird dargestellt, wie Unternehmen die drei Bereiche – Organisation, Prozesse, Technik – gestalten können, um Sicherheits-, Risiko- und Kontinuitätsmanagement effizient umzusetzen.

Zunächst sind Aufbauorganisation und Verantwortlichkeiten zu klären.

• Ein Sicherheitsmanagement-Team oder eine Stabsstelle Unternehmenssicherheit kümmert sich zentral um alle Sicherheitsbelange. In größeren Unternehmen existieren Rollen wie Security Manager / CSO (Chief Security Officer) für physische Sicherheit und CISO (Chief Information Security Officer) für IT-Sicherheit. Diese sollten eng zusammenarbeiten oder idealerweise an einer Stelle (z. B. unter einem Vorstand für Sicherheit/Risiko) gebündelt werden.

• Für Business Continuity wird oft ein BCM-Koordinator benannt, der das Continuity-Programm betreut und im Krisenfall die Notfallorganisation leitet. In kleineren Firmen trägt dies der Sicherheitsmanager oder Risikomanager mit.

• Risikomanagement (Enterprise Risk Management) hat idealerweise einen Risk Officer oder Risikomanager je Unternehmensbereich sowie ein zentrales Risk Committee. Diese sorgen dafür, dass Risikoanalysen gemacht werden und Aktionen nachverfolgt werden.

• Im Facility Management kann es Sicherheitsbeauftragte vor Ort geben (z. B. Gebäude- oder Werkschutzleiter, Brandschutzbeauftragter, Sicherheitsingenieur), die einerseits operativ (z.B. Koordination von Wachdienst und Technik) tätig sind, aber auch in die strategischen Runden einspeisen.

• Nicht zu vergessen: Notfall- und Krisenteams. Ein Krisenstab (Crisis Management Team) sollte vordefiniert sein, inklusive Vertreter aus oberster Führung, damit im Ereignisfall schnell Entscheidungen getroffen werden. Dieses Team benötigt eine Struktur (Wer ist Leiter, wer kümmert sich um Kommunikation, Logistik etc.?). Für Teilbereiche können Unterteams vorgesehen sein (z. B. IT-Notfallteam für technische Probleme).

Neben der Aufbauorganisation ist auch die Ablauforganisation wichtig: d. h. welche Regelprozesse es gibt. Zum Beispiel ein definierter Risikomanagement-Prozess (siehe Kapitel 4) mit festem Turnus, ein jährlicher Sicherheitsaudit-Prozess, ein Notfallübungs-Plan (z. B. welche Übungen pro Jahr). Diese Prozesse sollten dokumentiert und kommuniziert sein, damit jeder im Unternehmen weiß, was von ihm erwartet wird.

Ein weiterer organisatorischer Aspekt ist die Einbindung von Mitarbeitern. Sicherheitsmanagement ist nur erfolgreich, wenn alle Mitarbeitenden mitziehen. Daher sollten Schulungen und Awareness-Programme organisiert werden: z. B. Pflichtunterweisungen zum Arbeitsschutz, Security Awareness Trainings (u. a. zu Social Engineering für Büroangestellte, Verhalten bei Alarm etc.) und spezielle Trainings für Notfallteam-Mitglieder. Eine Kultur, in der Mitarbeiter potentielle Sicherheitsmängel melden dürfen (und ermutigt werden) – etwa über ein Meldeportal für Beinaheunfälle oder Sicherheitsvorfälle – erhöht die Früherkennung.

Die Kernprozesse im Sicherheits- und Risikomanagement wurden in vorherigen Kapiteln bereits angesprochen (Risikomanagement-Prozess, BCM-Lifecycle).

• Sicherheitsrichtlinien-Management: Ein Prozess zur Erstellung, Aktualisierung und Überwachung von Sicherheitsrichtlinien und -anweisungen. Beispielsweise eine Betriebssicherheitsrichtlinie für Gebäudenutzung (Zutrittsregeln, Besucher, Schließdienst), IT-Sicherheitsrichtlinie (Passwortrichtlinien, Umgang mit E-Mails) etc. Diese Dokumente müssen regelmäßig überprüft (z. B. jährlich) und nach Ereignissen angepasst werden.

• Vorfallmanagement (Incident Management): Ein strukturierter Prozess, Sicherheitsvorfälle oder Störungen zu melden, zu erfassen, zu untersuchen und nachzuverfolgen. Dafür kann es ein zentrales Meldesystem geben (Ticket-System oder Hotline). Jeder Vorfall – ob Einbruch, Unfall, IT-Sicherheitsvorfall – wird dokumentiert und klassifiziert (z. B. Schweregrad). Dann gibt es definierte Reaktionsprozeduren: Sofortmaßnahmen (z. B. Schaden begrenzen), Untersuchung (Root Cause Analysis) und am Ende Lessons Learned und Maßnahmensperrung (damit es nicht erneut passiert). Ein solches Incident Management stellt sicher, dass nichts unter den Teppich gekehrt wird und das Unternehmen aus Fehlern lernt.

• Notfall- und Krisenmanagementprozess: Wenn ein gravierender Zwischenfall passiert, tritt der Notfallplan in Kraft. Es sollte klar sein, wie die Eskalation erfolgt – wer informiert wen (Alarmierungsprozess), wo das Krisenteam sich einfindet (alternativer Krisenraum, falls Hauptgebäude unbenutzbar), wie oft Lagebesprechungen stattfinden, wie Entscheidungen dokumentiert werden, etc. Dieser Prozess muss geübt sein, damit im Chaosfall dennoch geordnet gehandelt wird.

• Änderungs- und Freigabeprozesse mit Risiko-Check: Schon erwähnt – z. B. Management of Change (MoC) in der Technik: Kein größerer Umbau oder Konfigurationsänderung ohne vorherige Risikoabschätzung und Sicherheitsfreigabe. Ähnlich in IT: Changes durchlaufen eine Sicherheitsbewertung.

• Prüf- und Wartungsprozesse für sicherheitsrelevante Einrichtungen: Gesetzlich vorgeschrieben sind z.B. regelmäßige Prüfungen von Feuerlöschern, Notbeleuchtung, Aufzügen etc. Darüber hinaus sollte es internes Security Audit Programm geben, wo periodisch z.B. Zugangskontrollen getestet werden, oder Social-Engineering-Tests (um Mitarbeitersensibilisierung zu prüfen).

• Kontinuierliche Verbesserung: Wie bei jedem Managementsystem sollte es auch im Sicherheitsmanagement ein Controlling und Review geben. Sicherheits-KPIs (Key Performance Indicators) können verfolgt werden: z. B. Anzahl Vorfälle pro Quartal, Schadenssumme, Ausfallszeiten, Audit-Feststellungen offen vs. geschlossen. In Management-Reviews (z. B. halbjährlich auf Führungsebene) werden diese ausgewertet und neue Ziele gesetzt.

Die moderne Technik bietet eine Fülle von Lösungen, um Sicherheit und Kontinuität zu unterstützen.

• Physische Sicherheitssysteme: Dazu gehören Zutrittskontrollanlagen (elektronische Schließsysteme mit Karten oder Biometrie), Videoüberwachung (CCTV), Einbruchmeldeanlagen, Brandmelde- und Löschanlagen, Zaun- und Perimeterschutzsysteme, Metalldetektoren für Zutrittskontrollen, etc. Solche Systeme detektieren und melden Bedrohungen in Echtzeit und können im Ereignisfall automatisiert reagieren (z. B. Feueralarm löst direkt Löschanlage aus). Wichtig ist, diese Technik fachgerecht zu betreiben und zu warten, da Fehlalarme oder Ausfälle sonst falsche Sicherheit vorgaukeln.

• Gebäudeleittechnik / Smart Building: Viele Gebäude nutzen Building Management Systeme (BMS), die Klima, Energie, Sicherheitstechnik integrieren. Moderne BMS können so programmiert werden, dass sie Sicherheitsszenarien unterstützen – z. B. im Brandfall werden automatisch Lüftungsanlagen gesteuert, Türen entriegelt für Fluchtwege, etc. Durch IoT (Internet of Things) können Sensoren allerlei Daten liefern (z. B. Vibrationen für Frühwarnung vor Maschinenausfall, Temperatur, Luftqualität), die sowohl der Sicherheit (Brandfrüherkennung) als auch dem Facility-Betrieb dienen.

• Kommunikationstechnik: Im Krisenfall ist Kommunikation kritisch. Unternehmen investieren in Notfallkommunikationssysteme – etwa Satellitentelefone oder Funkgeräte als Backup, falls Telefon/Handy-Netz ausfällt. Auch Alarmierungs-Apps sind verbreitet: Diese senden per Push/SMS Warnungen an Mitarbeiter („Bitte Gebäude X meiden, Feuerwehreinsatz läuft“).

• IT-Systeme für Sicherheit: Darunter fallen Firewalls, Intrusion Detection/Prevention Systeme (IDS/IPS) zum Schutz der Netzwerke, Endgerätesicherheit (Antivirus, Endpoint Detection) – das Reich des CISO. Aber auch physische FM-Sicherheit und IT wachsen zusammen: z. B. integrieren moderne Zugangssysteme die IT-Benutzerverwaltung (Identity Management). Ein Trend ist Cyber-Physical Security, wo z.B. Videoüberwachung via KI analysiert wird, um verdächtiges Verhalten zu erkennen, oder wo Zugangskontrolle und IT-Login gekoppelt werden (wer keinen Gebäudezutritt hat, kann sich auch nicht ins System einwählen).

• Resilienz durch Technik: Für Business Continuity gibt es technische Lösungen wie Spiegelsysteme (laufende Duplikation von Daten auf Zweitsysteme), Failover-Clustering (wenn ein Server ausfällt, springt automatisch ein anderer ein), Cloud-Dienste (die geografisch verteilt laufen, um regionale Ausfälle abzufedern). Im Produktionsumfeld können Predictive-Maintenance-Systeme (die via Sensorik drohende Maschinenausfälle vorhersagen) helfen, ungeplante Stillstände zu reduzieren – was sowohl dem Continuity- als auch dem Sicherheitsziel dient.

• Software-Werkzeuge für Risk & BCM: Zur organisatorischen Unterstützung gibt es GRC-Software (Governance, Risk & Compliance) oder spezialisierte BCM-Tools. Solche Tools ermöglichen es, Risk-Assessments abzubilden, Maßnahmen nachzuverfolgen, ein zentrales Notfallhandbuch digital zu pflegen, Kontaktlisten aktuell zu halten etc. Einige Lösungen bieten Echtzeit-Dashboards, in denen z.B. alle Standorte mit ihrem aktuellen Sicherheitsstatus angezeigt werden, inklusive offenen Risiken und anstehenden Prüfungen. Für Krisensituationen gibt es Krisenmanagement-Apps, wo das Krisenteam im virtuellen Raum zusammenarbeiten kann (Lagedokumentation, Aufgabenverteilung, Chat).

• Künstliche Intelligenz (KI): Ein Zukunftsaspekt – KI und Analytics werden zunehmend eingesetzt, um aus der Flut von Daten Anomalien zu erkennen. Z.B. KI-gestützte Videoanalyse, KI zur Auswertung von Logfiles (Cybersecurity) oder Machine Learning zur Optimierung von Wartungszyklen. Im Sicherheitsmanagement könnten KI-Systeme auch Risikoindikatoren aus verschiedensten Quellen korrelieren (z.B. Wetterdaten + Anlagenstatus + Personaldaten), um frühzeitig Warnungen zu geben („das Ausfallrisiko für Anlage X ist heute hoch, handle“).

Allerdings: Technik alleine ist nie die Lösung. Entscheidend ist das richtige Zusammenspiel von Mensch, Organisation und Technik. Ein Sprichwort im Sicherheitsbereich lautet: „Security is not a product, it's a process.“ – Technologie muss in gute Prozesse eingebettet und von geschulten Menschen bedient werden.

Tabelle 4: Kategorien von Sicherheitsmaßnahmen mit Beispielen und Zuständigkeiten.

Die Tabelle macht deutlich, dass Sicherheit eine teamübergreifende Aufgabe ist: Organisatorische Vorgaben kommen vom Management, müssen aber von allen gelebt werden; technische Maßnahmen werden von Spezialisten installiert, müssen aber durch Prozesse flankiert sein (eine Kamera nützt nichts, wenn niemand die Bilder auswertet).

Gerade der Aspekt Aufbau- und Ablauforganisation überprüfen kann im Facility Management gut mit Selbstbewertungstools erfolgen. So wird empfohlen, z. B. mittels Checklisten die gesamte Sicherheitsorganisation systematisch zu untersuchen, inklusive Planung, Bau, Betrieb, Instandhaltung der sicherheitsrelevanten Einrichtungen. Dabei identifizierte Schwachstellen kann man priorisieren und nachbessern. Solche Selbstaudits helfen auch, Organisationsverschulden vorzubeugen, indem man nachweist, dass man seine Pflichten erfüllt und fortlaufend kontrolliert.

Abschließend sei erwähnt, dass heutige Unternehmen auch auf Externe Technologien und Expertise setzen können: Vom ausgelagerten Security Operations Center (SOC) für Cyberabwehr bis hin zum angemieteten Alarmcenter (VdS-zertifizierte Leitstellen) gibt es Outsourcing-Möglichkeiten. Wichtig bei externen Lösungen ist jedoch die Integration in die internen Prozesse – ein Alarmcenter muss genau wissen, wen es im Unternehmen anrufen soll; ein externer Krisenberater muss in die Pläne eingebunden sein.

Zusammengefasst: Durch durchdachte Organisation (wer macht was?), etablierte Prozesse (wie laufen Planung, Betrieb, Störungsbehebung ab?) und passende Technologien (womit sichern wir uns technisch ab?) entsteht ein robustes Sicherheitsmanagementsystem. Es ermöglicht dem Unternehmen, sowohl alltägliche Risiken (Unfälle, Kriminalität, Ausfälle) als auch außergewöhnliche Krisen strukturiert zu bewältigen. Die technische Entwicklung – Stichworte Digitalisierung, Industrie 4.0, Smart Buildings – bietet dabei enorme Chancen, aber auch neue Herausforderungen (z. B. Cyberangriff auf Gebäudeleittechnik). Ein zentrales Anliegen der Organisation muss daher sein, Technik und Prozesse im Gleichklang weiterzuentwickeln und das Personal kontinuierlich mitzunehmen.

Eine Kernfrage aus Sicht der Geschäftsleitung lautet: „Lohnt sich das alles?“ – Sicherheitsmaßnahmen, Business Continuity Planning und Risikomanagement verursachen zunächst Kosten und Aufwand. Gerade in wirtschaftlich engen Zeiten stehen Investitionen in „präventive“ Bereiche unter Rechtfertigungsdruck.

• Vermeidung von Schäden und Verlusten: Der offensichtlichste Nutzen liegt in der Schadensprävention. Jeder verhinderte Sicherheitsvorfall und jede vermiedene Betriebsunterbrechung spart potenziell enorme Kosten. Beispiel IT-Ausfall: Eine Berechnung für eine mittelständische Anwaltskanzlei zeigte, dass ein bloßer 3-stündiger IT-Ausfall schon rund 10.000 € direkten Schaden (Produktivitätsverlust) verursachen kann. In der Industrie wurden Beispiele genannt, wo eine Stunde Stillstand bis 220.000 € an entgangenem Gewinn kostet, in der Automobilindustrie gar zigtausend Euro pro Minute. Solche Zahlen verdeutlichen, dass die Kosten von Präventionsmaßnahmen (z. B. ein Notstromgenerator oder ein redundant ausgelegter Server) in einem sinnvollen Verhältnis zum potenziellen Schaden stehen. Die Return-on-Prevention ist oft hoch: Studien (z. B. aus dem Arbeitsschutz) zeigen, dass jeder investierte Euro in Prävention im Schnitt ein Mehrfaches an Unfallkosten spart. Für Entscheider lässt sich dies in Risikokalkulationen ausdrücken: z. B. Erwarteter jährlicher Schaden ohne Maßnahme minus Erwarteter Schaden mit Maßnahme ergibt die vermiedenen Kosten pro Jahr. Ist dieser Betrag höher als die Kosten der Maßnahme (inkl. Wahrscheinlichkeitsbetrachtung), rechnet sie sich. Gerade Katastrophenfälle (Low Frequency, High Impact) sind schwierig zu kalkulieren, aber ihre potentiellen Auswirkungen können existenzbedrohend sein – was eine Versicherung/Absicherung existenziell wichtig macht.

• Reduktion finanzieller Unsicherheit: Durch Risikomanagement wird das Ertragsspektrum planbarer. Ungeplante Großverluste können den Unternehmenserfolg eines Jahres zunichtemachen oder sogar zur Insolvenz führen. Mit geeigneten Sicherheitsmaßnahmen und Versicherungen wird diese Volatilität reduziert. Aus Investorensicht erhöht das den Unternehmenswert (Stichwort risk-adjusted return). Ratingagenturen und Banken honorieren funktionierendes Risikomanagement – etwa im Rahmen von Basel II/III fließt operationelles Risiko ins Rating ein. Ein gutes Sicherheitsmanagement kann somit Finanzierungskosten senken.

• Versicherungsprämien senken: Versicherungsunternehmen belohnen risikobewusstes Verhalten durch geringere Prämien oder besseren Versicherungsschutz. Ein Praxisleitfaden für FM betont, dass es möglich ist, durch Entwicklung von Strategien, die den Anforderungen der Versicherer entsprechen, die Versicherungsprämien zu reduzieren. Voraussetzung ist eine umfassende Risikoanalyse, um den tatsächlichen Versicherungsbedarf zu ermitteln. Beispielsweise: Ein Unternehmen mit Sprinkleranlage, Wachdienst und gutem Notfallkonzept wird erheblich niedrigere Feuerversicherungs- und Betriebsunterbrechungs-Premien zahlen als ein vergleichbares ohne diese Maßnahmen. Einige Versicherer erkennen Zertifizierungen (ISO 27001, ISO 22301) an und gewähren Rabatte, weil diese Standards für ein überdurchschnittliches Sicherheitsniveau stehen.

• Gesetzes- und Compliance-Konformität: Wie in Kapitel 3 erörtert, fordern immer mehr Gesetze ein Risikofrüherkennungssystem und angemessene Sicherheit. Investitionen in diese Bereiche stellen sicher, dass das Unternehmen Rechtsvorschriften einhält, und vermeiden so potenziell kostspielige Konsequenzen: Bußgelder, Strafzahlungen, Prozesskosten oder Geschäftseinbußen durch behördliche Auflagen. Z. B. kann eine ungenügende IT-Sicherheit bei KRITIS-Betreibern hohe Geldbußen nach sich ziehen; Verstöße gegen Arbeitsschutz können empfindliche Strafen und Betriebsstilllegungen bewirken. Compliance ist somit ein zentraler Nutzen – eigentlich eher das Vermeiden von Nachteilen – aber in Summe ein wirtschaftlicher Faktor (Kosten für Compliance vs. Kosten bei Non-Compliance).

• Schutz von Reputation und Marktposition: Sicherheit und Zuverlässigkeit sind auch Wettbewerbsfaktoren. Kunden, insbesondere Geschäftskunden, achten darauf, dass ihre Lieferanten robust aufgestellt sind. Ein Unternehmen, das z. B. nachweisen kann, auch bei Ausfällen liefern zu können (durch Zweitwerk oder Lager) hat einen Vorteil bei Ausschreibungen. Vertrauen der Kunden ist ein immaterieller Wert, der leicht verspielt werden kann: Ein großer Sicherheitsvorfall (z. B. Datenskandal, Unglück in der Produktionsstätte) kann zu Kundenabwanderung führen und Neukundengeschäft erschweren. Umgekehrt stärkt proaktives Sicherheitsmanagement das Image als verlässlicher Partner. So zeigen Zertifikate oder Auditberichte gegenüber Geschäftspartnern Widerstandsfähigkeit, was die Chancen bei Geschäftsabschlüssen erhöhen kann. Man denke an Automobilzulieferer: OEMs verlangen von ihren Lieferanten Notfallpläne; wer diese hat, bekommt eher den Zuschlag. Reputation wirkt auch auf Mitarbeiter: In einem sicheren, gut vorbereiteten Unternehmen zu arbeiten, steigert die Mitarbeitermotivation und -bindung (niemand arbeitet gerne in unsicheren Bedingungen).

• Vermeidung von Produktions- und Qualitätsverlusten: Viele Sicherheitsmaßnahmen zahlen sich im Tagesgeschäft auch in Form von Qualitätsgewinnen und Effizienz aus. Z. B. regelmäßige Wartung (Teil des Sicherheitskonzepts) erhöht die Maschinenverfügbarkeit und Produktqualität, weniger Ausschuss. Ordentliche Zutrittskontrolle und Besuchermanagement verhindern nicht nur Diebstahl, sondern schützen auch vor Störungen in sensiblen Bereichen (z. B. kein Unbefugter, der versehentlich eine Anlage bedient). Ein systematischer Ansatz (Checklisten, Audits) sorgt allgemein für mehr Prozessdisziplin, was oft positive Nebeneffekte auf Produktivität hat. Insofern sind Sicherheitsmanagement und Lean Management keine Gegensätze – beides fördert strukturierte Prozesse.

• Kostentransparenz und Priorisierung: Risikomanagement hilft Entscheidern, besser zu priorisieren, wofür Geld ausgegeben wird. Durch die Quantifizierung von Risiken kann man Budgets zielgerichteter allozieren – etwa den höchsten Risiken entsprechend. Das verhindert Verschwendung in unwichtigen Bereichen und konzentriert Ressourcen dort, wo der potenzielle Schaden am größten ist. Ohne Risikodenken könnten Entscheider dem lautesten Ruf folgen (z. B. viel Geld in ein unwahrscheinliches Ereignis investieren, weil kürzlich darüber berichtet wurde), statt objektiv nach Risikolage. Das RM schafft hier ein rationaleres Fundament.

• Resilienz als Unternehmenswert: In einer Welt, die immer unsicherer scheint (Stichwort Klimawandel, geopolitische Spannungen, Cyberbedrohungen), wird Resilienz zum eigenständigen Werttreiber. Unternehmen, die Krisen überstehen und schnell wieder auf Kurs kommen, sichern ihren langfristigen Erfolg. Studien zeigen, dass Anleger bereit sind, in resiliente Unternehmen mehr zu investieren, und dass diese nach Krisen schneller ihre Aktienkurse erholen. Für Familienunternehmen bedeutet es generationenübergreifende Sicherung. Für Entscheider – die ja häufig auch Eigentümerinteressen vertreten – ist das ein zentraler Nutzen: Sicherheit ist Chefsache, weil sie den Fortbestand des Unternehmens schützt.

Die Herausforderung liegt darin, den Nutzen teils qualitativer Effekte in Zahlen zu fassen. Während man direkte Schäden noch relativ greifbar hat (historische Schadensfälle auswerten, Branchenstatistiken heranziehen), sind verhinderte Reputationsverluste oder Mitarbeitervertrauen schwer zu beziffern. Hier helfen manchmal Szenario-Analysen: Was wäre, wenn? Man kann „Worst-Case“-Szenarien durchspielen und die möglichen Kosten schätzen (Business Impact Simulation). Daraus lässt sich ableiten, was eine verhinderte Krise wert wäre. Ein Beispiel: Angenommen, ein mittelständisches Unternehmen berechnet, dass ein Brand mit Totalschaden im Werk A inkl. 6 Monate Produktionsausfall etwa 30 Mio. € kosten würde (Sachschäden, entgangener Gewinn, Marktanteilsverlust). Die Wahrscheinlichkeit dafür mag nur 1 % in 10 Jahren sein – aber der Risikowert wäre 0,01 × 30 Mio € = 300.000 € pro Jahr. Wenn nun Brandschutzmaßnahmen für 50.000 € im Jahr diese Wahrscheinlichkeit halbieren könnten, wäre das erwartungstreuwirtschaftlich absolut sinnvoll.

• „Unsere Maßnahmen verhindern Zwischenfälle, die uns X € kosten würden.“ (Kosten-Nutzen-Rechnung konkreter Investitionen)

• „Wir erfüllen gesetzliche Pflichten und vermeiden damit Strafen und Haftungsrisiken.“

• „Wir sichern Umsätze, indem wir unseren Kunden Zuverlässigkeit garantieren – das ist ein Wettbewerbsvorteil.“

• „Investoren und Versicherer honorieren unsere Risikosteuerung mit besseren Konditionen.“

• „Im Ereignisfall schützen wir Menschenleben – das ist unbezahlbar und nicht verhandelbar.“ (Gerade wenn es um Personenschutz geht, steht ethisch außer Frage, dass hier investiert werden muss; der Wert eines Menschenlebens entzieht sich einer betriebswirtschaftlichen Kalkulation, wird aber indirekt in regulatorischen Vorgaben abgebildet).

Aus Top-Management-Sicht ist auch relevant: Sicherheitsmanagement trägt zur Unternehmensführung (Corporate Governance) bei. Es reduziert die persönliche Haftung der Führungskräfte, die nach KonTraG & Co. sonst im Feuer stünde. Es zeigt den Stakeholdern, dass die Führung verantwortungsvoll und vorausschauend handelt – was gerade bei börsennotierten Firmen auch durch Analysten/Ratingagenturen positiv vermerkt wird.

Ein gut kommuniziertes Sicherheits- und Risikokonzept kann sogar finanzielle Mittel erschließen: Beispielsweise kann man Fördergelder oder niedrigverzinsliche Kredite für gewisse Sicherungsmaßnahmen erhalten (z. B. KfW-Förderung für Einbruchschutz oder Hochwasserschutz). Versicherer geben Zuschüsse für Präventionsprojekte, wenn es ihren Schaden vermindert. Manche Brancheninitiativen prämieren gute Sicherheitsstandards (awards, Zertifikate), was Marketingwert hat.

Alles in allem ist der Netto-Nutzen schwer in einer Zahl zu packen, aber qualitativ überzeugend: Die Vermeidung existenzbedrohender Ereignisse ist wie eine Lebensversicherung fürs Unternehmen. Und wie bei Versicherungen hofft man, dass man sie nie braucht, aber man kann auch nachts ruhig schlafen in dem Wissen, dass man abgesichert ist. Dieses „ruhige Gewissen“ der Geschäftsführung ist an sich ein Wert – es verhindert ineffiziente Panikreaktionen und erlaubt es, sich aufs Kerngeschäft zu konzentrieren, weil man weiß, dass im Hintergrund für Notfälle vorgesorgt ist.

Wie kann ein Unternehmen nun konkret vorgehen, um ein ganzheitliches Sicherheits-, Kontinuitäts- und Risikomanagement aufzubauen oder zu verbessern? In diesem Kapitel werden Umsetzungsempfehlungen und Best Practices zusammengefasst, die sich in der Praxis bewährt haben.

• Schritt 1: Top-Management-Committment sichern – Eine erfolgreiche Umsetzung steht und fällt mit der Unterstützung der obersten Leitung. Die Geschäftsführung sollte klar zum Ausdruck bringen, dass Sicherheit und Risikomanagement hohe Priorität haben. Dies kann durch einen Managementbeschluss oder eine schriftliche Policy geschehen, die an alle Mitarbeiter kommuniziert wird. Ein Mitglied der Geschäftsleitung sollte als Sponsor fungieren (z. B. ein Vorstand für „Risk & Safety“). Die Kultur muss „von oben“ vorgelebt werden – wenn Chefs die Regeln ernst nehmen (z. B. selbst Zugangskontrollen befolgen, an Notfallübungen teilnehmen), tun es die Mitarbeiter auch.

• Schritt 2: Bestandsaufnahme und Risikoanalyse durchführen – Bevor Änderungen eingeführt werden, ist ein Status-Quo-Assessment sinnvoll. Welche Sicherheitsmaßnahmen gibt es bereits? Wo gab es in der Vergangenheit Vorfälle? Welche Risiken sind aus bisherigen Analysen bekannt? Oft hilft ein Audit oder externes Assessment als Ausgangspunkt. Identifizieren Sie Gaps gegenüber Standards (z. B. ISO 22301 Anforderungen – was haben wir, was fehlt?) und gegenüber gesetzlichen Pflichten. Auch eine erneute unternehmensweite Risikoanalyse (siehe Kapitel 4) sollte am Anfang stehen, um die drängendsten Handlungsfelder zu priorisieren.

• Schritt 3: Strategie und Ziele festlegen – Darauf aufbauend wird eine Sicherheits-/Risikostrategie formuliert. Definieren Sie klare Ziele, z. B.: „Wir streben für unsere kritischen Prozesse an“, „Wir tolerieren keine Unfälle mit Ausfallzeit von Mitarbeitern“, „Wir wollen ISO 22301 Zertifizierung bis Jahr Y erreichen“. Die Strategie sollte auch Rollen (wer verantwortet was) und grobe Mittelplanung enthalten. Sie kann in einem Sicherheitskonzept oder Risikomanagement-Konzept dokumentiert werden. Ein integratives Leitbild könnte sein: Resilienz als Unternehmensziel – d. h. die Fähigkeit, Störungen nicht nur zu überleben, sondern gestärkt daraus hervorzugehen.

• Schritt 4: Organisationsstruktur aufbauen – Basierend auf der Strategie müssen die richtigen Personen an Bord sein. Setzen Sie ggf. ein Sicherheits- bzw. Risikokomitee ein, besetzen Sie die Schlüsselrollen (CISO, BCM-Manager, etc., falls nicht vorhanden). Involvieren Sie Vertreter wichtiger Bereiche (IT, FM, Produktion, HR, Recht). Falls es Wissenslücken gibt, ziehen Sie Experten hinzu – sei es durch Neueinstellung, Weiterbildung oder externe Beratung. Etablieren Sie Meldewege: z. B. definiert ein neues Reporting-System, dass quartalsweise ein Risikobericht ans Management geht, oder bei Störfällen unmittelbar eine Meldung an definierten Verteiler erfolgt.

• Schritt 5: Quick Wins und Prioritäten umsetzen – Beginnen Sie mit den dringlichsten Maßnahmen, vor allem solchen, die einfach umzusetzen und kosteneffizient sind (Quick Wins). Beispiele: Notfallkontakte zusammenstellen und kommunizieren (kostet wenig, hoher Nutzen im Ernstfall); Schließplan überarbeiten, sodass wirklich niemand Unbefugtes rein kann; kritische Server auf eine USV hängen, falls noch nicht geschehen. Parallel können größere Projekte gestartet werden (z. B. bauliche Nachrüstungen, Entwicklung kompletter BCM-Dokumentation), aber unterschätzen Sie nicht die Wirkung kleiner Schritte, um Momentum aufzubauen. Jedes erfolgreich umgesetzte Maßnahmenpaket schafft Vertrauen ins Programm.

• Schritt 6: Mitarbeiter einbinden und schulen – Starten Sie Awareness-Kampagnen. Das kann mit einfachen Mitteln geschehen: Aushänge „Sicherheitstipps des Monats“, E-Learning-Module für Basics (Phishing erkennen, Notfallknopf am Maschinen-Bedienpult etc.), Live-Schulungen mit praktischen Übungen (Feuerlöschertraining, Evakuierung). Fördern Sie eine Meldekultur: Richten Sie einen einfachen Meldeprozess ein (z. B. eine E-Mail-Adresse oder Hotline für Sicherheitsvorfälle oder Gefährdungen). Belohnen Sie ggf. proaktives Verhalten (Lob im Intranet, kleine Prämie für Idee zur Sicherheitsverbesserung). Mitarbeiter sind die wichtigste Ressource – Sensibilisierung erhöht deren Eigenverantwortung. Ein oft genanntes Best Practice ist das Konzept der „Safety Culture“, wo Sicherheit zu einem festen Wert wird. Führungskräfte sollten hier besonders geschult werden, um die richtigen Signale zu senden.

• Schritt 7: Dokumentation und Pläne erstellen – Parallel sollten die Schriftstücke erarbeitet werden, die im Krisenfall oder für die Governance nötig sind. Dazu zählen: Ein zentraler Notfallplan/Notfallhandbuch, der alle wichtigen Anweisungen bündelt (Kontakte, Treffpunkte, Prioritäten); detaillierte Wiederanlaufpläne für IT und Produktion; Evakuierungs- und Rettungspläne für Standorte (in Absprache mit Behörden, Feuerwehr). Auch Richtlinien und Verfahren für Normalbetrieb (Sicherheitsrichtlinie, Zugriffsprozess, Berechtigungsmanagement etc.) sind zu verschriftlichen, sofern noch nicht vorhanden. Hier zahlt es sich aus, nicht bei Null anzufangen: Nutzen Sie bewährte Vorlagen – z. B. Vorlagen der BSI-Standards, ISO-Normen oder Branchenverbände. Viele Organisationen (BSI, ISO, DRK, BCI) stellen Muster zur Verfügung, die angepasst werden können.

• Schritt 8: Integration und Tests durchführen – Sobald zentrale Elemente stehen, gilt es, das System ganzheitlich zu testen und zu optimieren. Führen Sie Übungen durch: am Anfang vielleicht eine Tischübung (Table-Top Exercise) mit dem Krisenteam, später realistischere Drills. Testen Sie Teilaspekte isoliert: z. B. Backup-Wiederherstellung (können wir tatsächlich unser ERP aus dem Backup in < x Stunden herstellen?); Probealarm der Brandmeldeanlage während Betriebszeit (funktioniert die Evakuierung?). Diese Tests werden Lücken offenbaren – genau das ist gewollt, um kontinuierlich Verbesserungen vorzunehmen. Wichtig: Nach jedem Test ein Debriefing und Maßnahmenableitung. Ein Best Practice ist, interne oder externe Audits durchführen zu lassen, um eine neutrale Sicht zu bekommen. Beispielsweise einen Penetrationstest (Pentest) für die IT-Sicherheit beauftragen; einen Safety-Audit von der Berufsgenossenschaft; oder Peers aus einem anderen Werk bitten, das Notfallmanagement zu begutachten. Audits bringen oftmals neue Ideen und bestätigen Fortschritte.

• Schritt 9: Kontinuierliches Lernen und Anpassen – Ein implementiertes Sicherheitsmanagementsystem ist kein statisches Konstrukt. Die Umwelt ändert sich, Risiken entwickeln sich weiter (neue Bedrohungen wie z. B. in jüngster Zeit vermehrt Cyberattacken, Pandemien etc.). Daher sollte ein Mechanismus etabliert sein, mit dem neue Erkenntnisse und Änderungen aufgenommen werden. Das kann institutionalisiert sein über jährliche Management-Reviews oder Risikoworkshops. Halten Sie Kontakt zu Brancheninitiativen und Netzwerken (z. B. Informationsverbund Sicherheit, lokale Sicherheitspartnerschaften mit Polizei, Erfahrungskreise). So bleiben Sie informiert über Trends und Best Practices. Unternehmen sollten auch Vorfallberichte anderer auswerten (Lernen aus Fremdschäden). Die Devise lautet: „Plan → Do → Check → Act“ – also nach dem Einführen (Do) immer wieder Überprüfen (Check) und Verbessern (Act).

• Ganzheitlichkeit sicherstellen: Nicht nur auf Technik fokussieren, sondern Mensch, Organisation, Umfeld einbeziehen (Holistic Approach). Erstellen Sie z. B. ein Risikoinventar, das alle Kategorien abdeckt (finanziell, operativ, IT, physisch, Compliance etc.) und stellen Sie interdisziplinäre Teams zusammen.

• Sicherheitskultur fördern: Die Haltungen und Werte im Unternehmen gegenüber Sicherheit sind entscheidend. Sichtbares Engagement der Führung, Einbindung der Mitarbeiter und offene Kommunikation über Sicherheit (z. B. vierteljährlicher Safety-Newsletter mit Auswertung von Vorfällen und Tipps) fördern die Kultur.

• Dokumentation simpel halten: In der Krise liest niemand einen 200-Seiten-Plan. Best Practice ist, Pläne knackig und praxisnah zu gestalten (Checklisten, Kurzanleitungen, laminiertes Kärtchen mit Notfallnummern etc.). Halten Sie wichtige Infos redundant bereit (Papierkopie + digital auf Cloud).

• Externe Hilfe nutzen: Kein Unternehmen muss alles allein machen. Best Practices sind z. B. regelmäßige Beratungen durch Berufsgenossenschaften (meist kostenlos im Arbeitsschutz), Kooperation mit der lokalen Feuerwehr (gemeinsame Übungen), oder Teilnahme an Informations-Sharing-Gruppen für Cybergefahren (z. B. CERTs). Auch ein externer Coach für Krisensimulation kann sehr wertvoll sein.

• Maßnahmen pragmatisch priorisieren: Fangen Sie mit den einfachen, hochwirksamen Maßnahmen an (Low Hanging Fruits). Verzetteln Sie sich nicht in Perfektionismus. Ein 80 % guter Plan, der schnell verfügbar ist, ist besser als der 100 % perfekte Plan, der nie fertig wird. Best Practice vieler BCM-Manager: Erstmal einen groben Notfallplan in 3 Monaten schreiben und veröffentlichen – dann iterativ verbessern.

• Aus Fehlern lernen: Jeder (Beinahe-)Vorfall ist Gold wert, um das System zu verbessern. Schaffen Sie eine Kultur, in der Fehleranalysen nicht Schuldige suchen, sondern Ursachen beheben (No-Blame-Culture). Das fördert Meldungen und Ehrlichkeit, was wiederum zu mehr Sicherheit führt.

• Benchmarking und Zertifizierung: Ziehen Sie in Betracht, sich mit anderen zu messen. Ein Zertifizierungsprojekt (z. B. ISO 22301) kann intern Disziplin schaffen und extern Vertrauen. Selbst wenn Zertifizierung kein Ziel ist, kann man einen internen Audit gegen den Standard durchführen, um Lücken zu identifizieren.

• Sicherheitsmanagement wird Teil der FM-Leistungsprozesse (im Vertragswerk mit Dienstleistern werden Sicherheitskennzahlen verankert, SLA für Notfallservices etc.).

• FM-Mitarbeiter werden in Risk-Themen geschult (z. B. Hausmeister erkennt Brandschutzmängel und meldet sie, statt sie zu ignorieren).

• Eine enge Kooperation mit anderen Abteilungen wird institutionalisiert, vielleicht durch regelmäßige bereichsübergreifende Sicherheitsrunden (z. B. monatliches Meeting: FM + IT + Produktion checken gemeinsam offene Risiken im Standort).

• Best Practice ist hier oft: „Integrated Facility Security“ – statt Separierung des Werkschutzes in eine eigene Abteilung wird er ins FM eingegliedert, sodass alle Gebäude-Themen aus einer Hand kommen und Sicherheitsüberlegungen überall einfließen.

Die Umsetzung erfordert Beharrlichkeit und systematisches Vorgehen. Man sollte sich nicht entmutigen lassen von der scheinbaren Größe der Aufgabe. Wichtig ist, anzufangen und Schritt für Schritt vorzugehen. Jedes Unternehmen ist anders – Best Practices müssen angepasst werden. Doch die genannten Prinzipien (Management Support, Kultur, Prozesse definieren, üben, kontinuierlich verbessern) gelten universal.

Letztlich wird ein Unternehmen, das diese Empfehlungen beherzigt, einen Reifungsprozess durchlaufen: Von ad-hoc reagierend zu proaktiv planend. Dies spiegelt sich oft in einem höheren Reifegradmodell wider (CMMI für Risk z. B.). Best Practice ist auch, den Fortschritt messbar zu machen: Erstellen Sie KPIs (z. B. % der kritischen Prozesse mit Notfallplänen, Anzahl Tage Produktionsausfall/Jahr, Audit-Score). So sehen Sie die Verbesserung und können diese auch den Stakeholdern zeigen.