Sicherheitskonzepte

In Deutschland besteht keine einheitliche gesetzliche Pflicht, für alle Arten von Liegenschaften ein Sicherheitskonzept zu erstellen. Dennoch existieren spezifische Regelwerke: das Arbeitsschutzgesetz, die Technischen Regeln für Gefahrstoffe (TRGS) und die Betriebssicherheitsverordnung verlangen z. B. Gefährdungsbeurteilungen und Risikobeurteilungen für bestimmte Einrichtungen. Zudem müssen Industrieunternehmen Maßnahmen ergreifen, um die Sicherheit und Gesundheit der Beschäftigten sowie der Öffentlichkeit zu gewährleisten.

Besonderes Augenmerk gilt der Mitbestimmung. Das deutsche Betriebsverfassungsgesetz verpflichtet Arbeitgeber dazu, betriebliche Sicherheitskonzepte mit dem Betriebsrat zu besprechen. Gemäß § 87 BetrVG ist dessen Zustimmung insbesondere bei Fragen der Ordnung des Betriebs, der Einrichtung von technischen Einrichtungen zur Mitarbeiterüberwachung oder der Maßnahmen zur Verhütung von Arbeitsunfällen erforderlich. Der Betriebsrat hat u. a. bei der Einführung von Überwachungseinrichtungen, der Gestaltung des Arbeits- und Urlaubsplans sowie der Regelungen zum Gesundheitsschutz ein Mitbestimmungsrecht. In der Praxis bedeutet dies, dass Heads of Facility Management den frühzeitigen Dialog mit Arbeitnehmervertretern suchen müssen, um Akzeptanz für die geplanten Sicherheitsmaßnahmen zu schaffen und arbeitsrechtliche Konflikte zu vermeiden.

Zu den klassischen Elementen eines Sicherheitskonzepts gehören Zutrittskontrollen, Videoüberwachungsanlagen, Brandmelde- und Löschsysteme sowie Notbeleuchtungen. Zutrittskontrollen stellen sicher, dass nur berechtigte Personen Zugang zu kritischen Bereichen haben. Moderne Konzepte kombinieren mechanische Sicherungen (z. B. Schließanlagen), elektronische Systeme (Badges, PIN‑Terminals oder biometrische Leser) und softwaregestützte Rechteverwaltung. Videoüberwachung unterstützt die Detektion unerwünschten Verhaltens und liefert Beweismaterial. Brandschutzsysteme müssen auf die jeweiligen Gebäudeanforderungen abgestimmt sein und durch geeignete Notbeleuchtung ergänzt werden, um im Evakuierungsfall Sicherheit zu gewährleisten.

Ein unternehmenseigenes Gefahrenmanagementsystem sollte darüber hinaus Naturgefahren, Sabotage, Einbruch, Diebstahl und Vandalismus berücksichtigen. Ein holistisches Sicherheitskonzept „hat klar definierte Prozesse und Anforderungen an Räumlichkeiten, Bereiche und die Verantwortlichen“. Es vereint die Belange von Gebäude‑ und IT‑Sicherheit und schließt typische Lücken, die bei der Betrachtung einzelner Gefährdungen entstehen. Besonders bedeutsam ist der Schutz vor internen Tätern: Laut einer Bitkom‑Studie ist die größte Gefahr der physischen Sicherheit das Insider‑Risiko, z. B. durch ehemalige Mitarbeitende, die sich Zugang zu Serverräumen, Laboren oder Produktionsstätten verschaffen. Diese Erkenntnis unterstreicht die Bedeutung von Zutrittsprotokollen, Schlüsselmanagement und Offboarding‑Prozessen.

Neben Technik und Baustruktur sind organisatorische und personelle Maßnahmen entscheidend. Dazu gehören Schulungen des Personals, um sicherzustellen, dass Mitarbeitende die Sicherheitsmaßnahmen verstehen und im Notfall richtig handeln können. Ein Sicherheitskonzept definiert die Aufgaben und Zuständigkeiten aller Beteiligten. Notfall- und Krisenmanagementpläne regeln die Reaktion auf Störungen und koordinieren die Zusammenarbeit mit Behörden und externen Dienstleistern. Im Rahmen des Prozessmodells wird auch die Sicherheitsüberprüfung von Beschäftigten sowie die Festlegung von Vier‑Augen‑Prinzipien und Funktionstrennungen berücksichtigt. Ein Business‑Continuity‑Plan (BCP) stellt sicher, dass der Betrieb auch bei Notfällen aufrechterhalten werden kann.

Facility Manager tragen zunehmend Verantwortung für die digitale Infrastruktur von Gebäuden (Gebäudeleittechnik, Zutrittssysteme, IoT‑Sensorik). Die IT‑Grundschutz‑Methode des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet eine „bewährte Grundlage“ für den Datenschutz und die Absicherung von IT‑Systemen. Cyberangriffe sind zu einer ernstzunehmenden Bedrohung geworden; klassische Maßnahmen wie Firewalls und Antiviren‑Software reichen nicht aus. Die Grundschutzmethodik berücksichtigt „alle für die IT‑Sicherheit relevanten Bereiche wie Organisation, Personal, Technik und Infrastruktur“ und sichert diese im Hinblick auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit ab. Der Aufbau eines Informationssicherheits‑Managementsystems (ISMS) stellt das Rückgrat der IT‑Grundschutz‑Methode dar. Unternehmen können über Gap‑Analysen den Ist‑Zustand mit den Anforderungen aus dem Grundschutz vergleichen und darauf aufbauend die Einführung eines ISMS planen. Ein solches System kann nach ISO 27001 zertifiziert werden, wodurch die Wirksamkeit der Sicherheitsprozesse auch nach außen dokumentiert wird.

Die Einhaltung gesetzlicher Vorschriften und branchenbezogener Normen (z. B. DSGVO, ISO 27001, ISO 22301 für Business Continuity Management) ist ein integraler Bestandteil jedes Sicherheitskonzepts. Dokumentation ist dabei nicht Selbstzweck, sondern reduziert Haftungsrisiken und schafft Transparenz. Sicherheitskonzepte müssen regelmäßig überprüft und angepasst werden, um mit neuen Bedrohungen und veränderten Rahmenbedingungen Schritt zu halten. Heads of Facility Management sollten ein System etablieren, das Prüfungen, Audits und Schulungen nachweist und sowohl Versicherer als auch Behörden überzeugt. Die enge Verzahnung mit Qualitäts‑ und Umweltmanagementsystemen fördert die Akzeptanz.

• Sicherheits‑ und Kontinuitätspolitik: Die Unternehmensleitung definiert die grundlegenden Ziele für Security, Business Continuity und Risikomanagement sowie die Einbindung in die Unternehmensstrategie.

• Anforderungsanalyse: Aus der Politik werden Sicherheits‑, Kontinuitäts‑ und Risikoparameter abgeleitet (Schutzbedarfsfeststellung, Risikoanalysen). Hier werden die zu schützenden Güter identifiziert und ihre Kritikalität bewertet.

• Transformation in die Organisation: Aufbau‑ und Ablauforganisation werden so gestaltet, dass Verantwortlichkeiten, Eskalationswege und Ressourcen klar zugeordnet sind. Heads of Facility Management nehmen eine zentrale Rolle ein, da sie die Schnittstelle zwischen Infrastruktur, Betrieb und Security bilden.

• Sicherheitsstrategie und ‑architektur: Es wird festgelegt, welche Strategien (z. B. Defense‑in‑Depth, Zero‑Trust), Architekturen und Sicherheitszonen angewendet werden. Redundanzen, Fail‑Safe‑Designs und Notbetriebskonzepte gehören hierzu.

• Richtlinien und Standards: Interne Richtlinien konkretisieren gesetzliche und normative Anforderungen. Dazu zählen Zutrittsrichtlinien, Videonutzungsregeln, Datenschutzregeln sowie Handlungsanweisungen für Notfälle.

• Sicherheitskonzepte: Basierend auf den bisherigen Schritten werden konkrete Konzepte erstellt – für Liegenschaften, IT‑Systeme, Personal, Reisesicherheit, Veranstaltungen etc. Sie beinhalten Risikoanalysen, Maßnahmenkataloge, Verantwortlichkeiten und Zeitpläne.

• Umsetzung von Maßnahmen: In dieser Phase werden bauliche, technische und organisatorische Maßnahmen umgesetzt und geschult. Monitoring‑Systeme überwachen laufend die Wirksamkeit.

• Kontinuierliche Verbesserung: Regelmäßige Audits, Penetrationstests und Gap‑Analysen liefern Input für die Aktualisierung der Sicherheitskonzepte. Lessons Learned aus Vorfällen werden systematisch verarbeitet.

Dieses Prozessmodell bildet den Ordnungsrahmen für ein Managementsystem Unternehmenssicherheit. Es betont, dass Sicherheitskonzepte dynamisch sind und nicht als einmalige Dokumente verstanden werden dürfen.

Die Erstellung eines Sicherheitskonzepts beginnt mit einer umfassenden Gefährdungsanalyse, die physische, digitale und organisatorische Risiken gleichermaßen berücksichtigt. Facility Manager sollten mit Expertinnen und Experten aus IT, Brandschutz, Arbeitssicherheit und Datenschutz zusammenarbeiten, um eine gemeinsame Risikoidentifikation zu erreichen. Daten aus Zutrittslogs, Störmeldungen, Audits, Versicherungsfällen und Cybersecurity‑Incidents bilden die Grundlage. Für kritische Szenarien (z. B. Amok‑ oder Terrorlagen, Naturereignisse, Großbrände) müssen Wahrscheinlichkeiten, Schadensausmaß und Eintrittsbedingungen analysiert und mit den Schutzbedarfen abgeglichen werden.

Moderne Gebäude sind mit sensorgestützten Gebäudemanagementsystemen ausgestattet. Deren Integration in das Sicherheitskonzept ermöglicht Echtzeit‑Monitoring und automatisierte Alarme. Vernetzte Brandschutzsysteme, Zutrittskontrollanlagen und Videoüberwachung sollten auf einer einheitlichen Plattform zusammengeführt werden. Gleichzeitig sind diese Systeme potenzielle Einfallstore für Cyberangriffe; deshalb müssen sie in das IT‑Sicherheitsmanagement integriert werden. Der Beitrag „IT‑Sicherheit: Auch für die Kleinen“ betont, dass die Grundschutzmethodik nicht nur Hardware und Software absichert, sondern auch die Organisation, das Personal und die physischen Umgebungen. Facility Manager sollten daher im Schulterschluss mit der IT‑Abteilung sicherstellen, dass Netzwerksegmente getrennt und Zugangsdaten geschützt sind und regelmäßige Updates erfolgen.

Sicherheit lebt von der Akzeptanz der Mitarbeitenden. Regelmäßige Unterweisungen vermitteln das richtige Verhalten im Evakuierungsfall, den Umgang mit sensiblen Informationen und die Bedeutung von Zugangskontrollen. Da laut Bitkom‑Studie ein erheblicher Teil der physischen Sicherheitsrisiken von Insider‑Angriffen ausgeht, sollten auch Themen wie Social Engineering, Phishing und Sabotageprävention adressiert werden. Schulungen müssen zielgruppengerecht sein: Sicherheitsdienste benötigen detaillierte Verfahrensanweisungen, während das Bewusstsein der Belegschaft vor allem durch praktische Übungen gestärkt wird.

Facility Management ist häufig auf externe Dienstleister angewiesen (z. B. Sicherheitsdienste, Brandschutzprüfstellen, IT‑Dienstleister). Vertragliche Vereinbarungen sollten sicherstellen, dass externe Partner die Unternehmenssicherheitsstandards einhalten. Beispielsweise bietet die VdS Schadenverhütung GmbH Risikoanalysen, Anlagenprüfungen und Zertifizierungen für Brandschutzanlagen an. Für den Brandschutz benötigen Unternehmen eine klare Dokumentation der technischen Anlagen und ihrer Prüfungen. Digitale Lösungen wie Engine4.Service unterstützen dabei, Informationen automatisiert bereitzustellen und Prüfprozesse zu terminieren. Facility Managerinnen und -Manager sollten solche Plattformen nutzen, um Ressourcen zu entlasten und die Dokumentationspflichten zu erfüllen.

Die Sicherheitslandschaft verändert sich stetig. Neue Technologien (IoT, Künstliche Intelligenz), veränderte Angriffsvektoren und geopolitische Entwicklungen beeinflussen die Gefährdungslage. Ein wirksames Sicherheitskonzept muss daher regelmässig evaluiert und fortgeschrieben werden. Dies schließt die Anpassung an neue gesetzliche Vorgaben (z. B. die europäische NIS‑2‑Richtlinie), die Integration von Nachhaltigkeitskriterien (z. B. Energieeffizienz in Sicherheitsanlagen) und die Berücksichtigung von Home‑Office‑Arbeitsplätzen ein. Die BSI‑Grundschutzmethodik sieht drei Vorgehensweisen (Basis‑, Kern‑ und Standard‑Absicherung) vor, sodass Unternehmen den Grad der Absicherung entsprechend ihrer Größe und Risikobereitschaft wählen können. Für Heads of Facility Management empfiehlt es sich, zunächst eine Basisabsicherung einzuführen und diese durch weitere Bausteine schrittweise auszubauen.