Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Sicherheitsrichtlinien und -standards

Facility Management: Security » Sicherheit » Prozessmodell der Unternehmenssicherheit » Sicherheitsrichtlinien und -standards

Sicherheitsrichtlinien und ‑standards: Integraler Bestandteil des Prozessmodells

Sicherheitsrichtlinien und ‑standards: Integraler Bestandteil des Prozessmodells

Angesichts der Vielzahl möglicher Gefahren – von Cyberangriffen über Naturkatastrophen bis hin zu internen Sicherheitslücken – ist die Implementierung umfassender Sicherheitskonzepte unverzichtbar. Ein grundlegendes Element dieser Konzepte ist die Risikoanalyse, die potenzielle Gefahren identifiziert, bewertet und darauf aufbauend gezielte Sicherheitsstrategien entwickelt. Im Prozessmodell der Unternehmenssicherheit spielen Sicherheitsrichtlinien und ‑standards eine zentrale Rolle. Sie schlagen die Brücke zwischen der strategischen Sicherheits‑, Kontinuitäts‑ und Risikopolitik und der operativen Umsetzung. Risikoanalysen und normative Grundlagen liefern die notwendigen Anforderungen, während Sicherheitsstandards wie BSI‑Grundschutz, ISO 27001, ISO 22301 und branchenspezifische Frameworks einen strukturierten Rahmen bieten. Für das Facility Management ist es entscheidend, dass Sicherheitsrichtlinien nicht nur technische Aspekte adressieren, sondern auch physische Sicherheit, Brandschutz, Wartung, IT‑Sicherheit, Datenschutz und das Verhalten der Mitarbeitenden umfassen.

Für die Leitungskräfte im Facility Management bedeutet dies, dass sie Sicherheitsrichtlinien und ‑standards nicht als bürokratische Pflicht verstehen dürfen. Vielmehr sind sie strategische Werkzeuge, die zur Resilienz, Rechtskonformität und Wettbewerbsfähigkeit beitragen. Die ständige Überwachung und kontinuierliche Verbesserung des Sicherheitsmanagements sind der Schlüssel, um angesichts dynamischer Bedrohungslagen und sich wandelnder gesetzlicher Anforderungen dauerhaft ein hohes Sicherheitsniveau zu gewährleisten.

Prozessmodell der Unternehmenssicherheit – strategische Einbettung - Sicherheits‑, Kontinuitäts‑ und Risikopolitik

Am Anfang des Prozessmodells steht die Formulierung einer Sicherheits‑, Kontinuitäts‑ und Risikopolitik. Diese hochrangigen Leitlinien definieren die Grundsätze und strategischen Ziele der Unternehmenssicherheit. Sie stellen sicher, dass Sicherheitsziele mit den Unternehmenszielen korrespondieren und legen Verantwortlichkeiten fest. Im Kontext eines Informationssicherheitsmanagementsystems (ISMS) werden diese Ziele durch Informationssicherheitsrichtlinien präzisiert; sie definieren die Sicherheitsziele und ‑strategien des Unternehmens sowie die Verantwortlichkeiten der Mitarbeitenden. Solche Leitlinien schaffen die Ausgangsbasis für nachgelagerte Sicherheitsmaßnahmen und unterstützen die Verpflichtung der Führungsebene.

Für das Facility Management ist auch der Bezug zur übergeordneten Managementsystemnorm ISO 41001 wichtig. Die Norm legt Anforderungen an ein FM‑System fest, wenn eine Organisation eine „effektive und effiziente Erbringung von Facility Management“ nachweisen muss. Sie richtet sich an Organisationen aller Art und stellt sicher, dass das FM die Bedürfnisse der Stakeholder erfüllt, regulatorischen Anforderungen genügt und langfristig nachhaltig ist. Eine Sicherheits‑, Kontinuitäts‑ und Risikopolitik im FM sollte daher die Prinzipien der ISO 41001 in Bezug auf Effektivität, Effizienz und Nachhaltigkeit berücksichtigen.

Sicherheits‑ und Kontinuitätsanforderungen: Risikoanalyse und Compliance

Die Sicherheits‑ und Kontinuitätsanforderungen speisen sich aus Risikoanalysen und aus rechtlichen bzw. normativen Vorgaben. Eine Risikoanalyse bildet das „solide Fundament jeder effektiven Sicherheitsstrategie“, indem mögliche Bedrohungen identifiziert, deren Eintrittswahrscheinlichkeit und potenzielle Auswirkungen bewertet und daraufhin Maßnahmen zur Risikominimierung entwickelt werden. Delphos Sicherheitssysteme beschreibt diese methodische Herangehensweise als Voraussetzung für proaktives Handeln und den Aufbau einer robusten Sicherheitsinfrastruktur. Anlässe für Risikoanalysen können neue Technologien, Veränderungen des Unternehmensumfelds, Branchenvorfälle oder gesetzliche Anforderungen sein. Die Analyse umfasst Identifikation, Bewertung, Behandlung sowie Überwachung von Risiken.

Neben der individuellen Risikoanalyse spielen Normen und gesetzliche Vorgaben eine entscheidende Rolle. Das Praxis‑CAFM‑Wiki betont, dass Normen und Standards eine erhebliche Erleichterung bei der Planung und Umsetzung von Aufgaben im Facility Management darstellen. Zu den wichtigen Regelwerken zählen beispielsweise die Vorschriften der Deutschen Gesetzlichen Unfallversicherung (DGUV), die einen sicheren Arbeitsplatz gewährleisten sollen. Auch das deutsche Medizinproduktegesetz (MPG) und seine Verordnungen regeln technische und organisatorische Anforderungen für den sicheren Betrieb von Medizinprodukten. Darüber hinaus definieren DIN‑Normen standardisierte Verfahren – sie beruhen „auf gesicherten Ergebnissen von Wissenschaft, Technik und Erfahrung“ und dienen der Allgemeinheit. Europäische Normen tragen das Kürzel „EN“, internationale das Kürzel „ISO“.

Diese normativen Grundlagen reichen von spezifischen Sicherheitsnormen (z. B. DIN 77200‑1 für Sicherheitsdienstleister oder ISO/IEC 27002 für Informationssicherheitsmaßnahmen) bis hin zu Normen des Qualitäts- und Risikomanagements wie ISO 9001 und ISO 31000. Für das FM sind auch Normen der Serie DIN EN 15221 relevant, die Prozesse, Leistungen und Flächenbemessungen definieren. Zusammen bilden Risikoanalysen und Normen die Ausgangsbasis für definierte Sicherheitsrichtlinien und ‑standards.

Sicherheitsrichtlinien und ‑standards – generische Konzepte - Bedeutung und Zielsetzung

Sicherheitsrichtlinien und ‑standards sind zentrale Instrumente des Prozessmodells. Sie übersetzen die übergeordnete Sicherheits‑ und Risikopolitik sowie die identifizierten Anforderungen in formal geregelte Vorgaben. Sie dienen als konsolidierte Wissensbasis, fördern die Standardisierung und legen akzeptierte Prozesse und Technologien fest. In einem Unternehmensumfeld, in dem regulatorische Anforderungen – beispielsweise im Bereich KRITIS und Branchenspezifische Sicherheitsstandards (B3S) – stetig steigen, reicht eine reine Dienstanweisung für das Wachpersonal nicht mehr aus. Fachbeiträge von CS Cube unterstreichen, dass eine „strukturierte Herangehensweise, die auf festgelegten Sicherheitsstandards und Sicherheitsrichtlinien basiert, unabdingbar“ ist; international anerkannte Standards wie ISO 27001, BSI‑Grundschutz, ISO 22301 oder VDA TISAX böten hierfür einen umfassenden Rahmen.

Einige maßgebliche Sicherheitsstandards für das Facility Management werden nachfolgend zusammengefasst:

  • BSI‑Grundschutz: Der deutsche Grundschutz ist ein IT‑Sicherheitskonzept des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er bietet eine strukturierte Methode zur Identifizierung, Bewertung und Umsetzung von Sicherheitsmaßnahmen in Organisationen, um die Informationssicherheit zu gewährleisten.

  • ISO 27001: Diese internationale Norm definiert Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS). Ziel ist es, Risiken zu minimieren und Sicherheitsprozesse zu etablieren; sie unterstützt Organisationen bei der sicheren Verwaltung von Informationen.

  • ISMS (Informationssicherheitsmanagementsystem): Ein ISMS ist ein ganzheitlicher Ansatz zur Verwaltung und Sicherung von Informationen. Es umfasst Richtlinien, Prozesse und Technologien, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Kernbestandteile sind neben den Informationssicherheitsrichtlinien auch regelmäßige Risikoanalysen, technische und organisatorische Maßnahmen, Schulungen sowie kontinuierliche Überwachung und Verbesserung.

  • KRITIS: Der Begriff bezeichnet kritische Infrastrukturen, deren Ausfall schwerwiegende Auswirkungen auf die nationale Sicherheit, die Wirtschaft oder das öffentliche Leben hätte. Betreiber solcher Infrastrukturen müssen besonders hohe Sicherheitsstandards erfüllen.

  • ISO 22301: Diese internationale Norm definiert das Business‑Continuity‑Management (BCM). Sie hilft Organisationen, Pläne und Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs in Notfällen zu entwickeln, einschließlich der Vorbereitung auf Störungen und der Wiederherstellung nach Zwischenfällen.

  • VDA ISA / TISAX: Die VDA ISA (Informationssicherheitsanforderungen für die Automobilindustrie) und das darauf basierende Zertifizierungsschema TISAX sind branchenspezifische Standards zur Sicherung von Daten in der Automobilindustrie.

  • B3S: Das Business Security System ist ein Sicherheitskonzept der Bundesdruckerei zur Sicherung von Geschäftsprozessen und Identitätsmanagement.

Diese Standards dienen als generische Sicherheitskonzepte, auf die branchenspezifische Anforderungen aufsetzen können. Sie enthalten normative Vorgaben für das Risikomanagement (z. B. ISO 31000), das Qualitätsmanagement (ISO 9001) oder die Informationssicherheit (ISO/IEC 27002). Im FM sind sie in vielen Bereichen verbindlich, etwa in kritischen Infrastrukturen oder bei öffentlichen Auftraggebern.

Integration in das Facility Management

Das Facility Management ist ein Querschnittsbereich, der nicht nur Gebäude, technische Anlagen und Dienstleistungen verwaltet, sondern auch Informationssysteme und Arbeitsprozesse. Sicherheitsrichtlinien müssen daher den gesamten Lebenszyklus von Gebäuden berücksichtigen – von der Planung über den Bau bis zur Nutzung und Instandhaltung. Das CAFM‑Blog betont, dass Sicherheit im FM neben der physischen Sicherheit auch den Schutz von Daten und Informationen umfasst und dass ein effizientes Sicherheitsmanagement Unfallrisiken reduziert, die Produktivität steigert und das Vertrauen der Nutzer*innen fördert. Neben Brandschutz, Zugangskontrolle, Arbeitsschutz und IT‑Sicherheit gehören Wartung und Instandhaltung sicherheitsrelevanter Anlagen sowie die Schulung der Mitarbeitenden zu den wichtigen Sicherheitsaspekten. Diese Aspekte lassen sich mittels der genannten Standards systematisieren und in Richtlinien überführen.

Von Richtlinien zur Umsetzung: Sicherheitskonzepte und Maßnahmen

Sicherheitsrichtlinien dienen als Anleitung, aus den identifizierten Anforderungen konkrete Maßnahmen abzuleiten. Sie bilden die Grundlage für ein Sicherheitskonzept, das technische, organisatorische und personelle Maßnahmen integriert.

Risikobasierte Maßnahmenplanung

Die Delphos‑Analyse zeigt, dass die Risikoanalyse nicht nur Gefahren identifiziert, sondern auch konkrete Anlässe für Präventionsmaßnahmen liefert. Bei der Einführung neuer Technologien soll geprüft werden, ob Cyberangriffe oder Unfälle drohen; bei Expansionen in risikoreiche Märkte müssen Überwachungssysteme und Prozesskontrollen angepasst werden. Erkenntnisse aus Sicherheitsvorfällen führen zu verschärften Zugriffskontrollen und zusätzlichen Verschlüsselungstechniken. Gesetzliche Änderungen – etwa neue Datenschutzgesetze – können Anpassungen der Speicherung und Weitergabe personenbezogener Daten erforderlich machen. Die risikobasierte Maßnahmenplanung umfasst daher eine ständige Beobachtung der Risikolage, die Priorisierung nach Eintrittswahrscheinlichkeit und Auswirkung sowie die Zuordnung geeigneter Maßnahmen.

Physische Sicherheitsmaßnahmen

In der Umsetzung spielen physische Sicherheitsmaßnahmen eine zentrale Rolle. Das CAFM‑Blog nennt Zugangskontrolle und Überwachungssysteme als wesentliche Instrumente. Zugangskontrollsysteme wie Schlösser, Schlüsselkarten oder biometrische Scanner begrenzen den Zutritt zu sensiblen Bereichen und verhindern unbefugten Zugriff. Überwachungssysteme wie CCTV‑Kameras tragen zur frühzeitigen Erkennung von Gefahren bei und erhöhen das Sicherheitsbewusstsein; sie können potenzielle Täter abschrecken. Daneben gehören die regelmäßige Wartung und Inspektion der sicherheitsrelevanten Anlagen zum Sicherheitsmanagement: die Kontrolle elektrischer Anlagen, Heizungs‑ und Klimasysteme sowie anderer technischer Einrichtungen beugt Gefahren vor und erfordert geeignete Sicherheitsvorkehrungen wie persönliche Schutzausrüstung und die Einhaltung von Sicherheitsvorschriften.

Brandschutz und Notfallplanung

Brandschutzsysteme – Rauchmelder, Feuerlöscher, Sprinkleranlagen – sowie Evakuierungspläne und Schulungen sind unverzichtbar. Regelmäßige Brandschutzübungen stellen sicher, dass alle Beteiligten mit den Evakuierungsverfahren vertraut sind. Eine gute Notfallplanung umfasst die Identifikation potenzieller Notfallsituationen, die Entwicklung spezifischer Notfallpläne und die regelmäßige Aktualisierung dieser Pläne, um aktuellen Anforderungen zu entsprechen.

IT‑Sicherheit und Informationsschutz

Die Digitalisierung von Facility‑Prozessen macht den Schutz von Daten und IT‑Systemen unverzichtbar. Ein ISMS – ein Kernbestandteil der ISO 27001 – verlangt neben technischen und organisatorischen Maßnahmen auch die Sensibilisierung der Beschäftigten. Der Beitrag von Datenschutzexperte.de hebt hervor, dass ein ISMS Regeln, Prozesse, Technologien und Maßnahmen umfasst, um Risiken zu erkennen und zu vermeiden; die Richtlinien dokumentieren sicherheitsrelevante Prozesse und vermitteln Mitarbeitenden das notwendige Know‑how für den sicheren Umgang mit Informationen. Schulungen und Sensibilisierungsmaßnahmen sind daher integraler Bestandteil des Sicherheitskonzepts.

Schulung und Sensibilisierung

Das CAFM‑Blog beschreibt die Schulung und Sensibilisierung der Mitarbeitenden als wesentlichen Bestandteil des Sicherheitsmanagements im FM. Durch Schulungen können Mitarbeitende Gefahren frühzeitig erkennen und angemessen darauf reagieren; regelmäßige Schulungen sollten an die spezifischen Anforderungen der Einrichtung angepasst werden. Sensibilisierungsprogramme stärken das Sicherheitsbewusstsein und fördern das Engagement für die Einhaltung der Sicherheitsstandards.

Kontinuierliche Überwachung, Auditierung und Verbesserung

Sicherheitsmanagement ist kein statisches Projekt, sondern ein iterativer Prozess. Kontinuierliche Überprüfung und Anpassung der Sicherheitsmaßnahmen sind unerlässlich, um auf neue Herausforderungen und sich ändernde Vorschriften angemessen reagieren zu können. Ein ISMS erfordert die fortlaufende Überwachung und Verbesserung, um neue Bedrohungen und Entwicklungen zu berücksichtigen. Die ISO 41001 gibt vor, dass FM‑Systeme nachhaltig sein und die Bedürfnisse der Interessengruppen dauerhaft erfüllen müssen; dies impliziert regelmäßige Audits, Leistungsmessungen und Managementreviews.

Zum fortwährenden Verbesserungsprozess gehören auch interne und externe Audits, der Vergleich mit Benchmarks (etwa nach DIN EN 15221‑7 für Leistungs-Benchmarking), das Lernen aus Zwischenfällen sowie die Anpassung der Sicherheitsrichtlinien an veränderte organisatorische Rahmenbedingungen oder neue regulatorische Vorgaben. Der Einsatz digitaler CAFM‑Systeme unterstützt die strukturierte Dokumentation, Überwachung und Analyse von Sicherheitsprozessen und erleichtert damit den Nachweis der Compliance.