Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Umsetzung von Sicherheitsmaßnahmen

Facility Management: Security » Sicherheit » Prozessmodell der Unternehmenssicherheit » Umsetzung von Sicherheitsmaßnahmen

Umsetzung von Sicherheitsmaßnahmen im Facility Management

Umsetzung von Sicherheitsmaßnahmen im Facility Management

Die anhaltende Digitalisierung und globale Vernetzung haben Facility‑Management‑Organisationen vor neue Sicherheitsherausforderungen gestellt. Neben traditionellen Aufgaben wie Gebäudebetrieb, Instandhaltung und Energiemanagement rückt die Unternehmenssicherheit ins Zentrum strategischer Verantwortung. Angesichts immer raffinierterer physischer und digitaler Bedrohungen, zunehmender Regulierung und der gesellschaftlichen Erwartung nach verlässlicher Sicherheit müssen Facility‑Manager ein systematisches Sicherheitsmanagement etablieren, das sowohl materielle Werte als auch immaterielle Assets wie Daten und geistiges Eigentum schützt. Sicherheit ist dabei keine Zusatzfunktion, sondern gewährleistet die Unversehrtheit von Menschen, Vermögenswerten und Geschäftsprozessen.

Die Umsetzung von Sicherheitsmaßnahmen im Facility Management erfordert einen ganzheitlichen, prozessbasierten Ansatz. Sicherheitsmanagement basiert auf einer systematischen Risikoanalyse, der Planung geeigneter Maßnahmen, ihrer sorgfältigen Implementierung sowie der kontinuierlichen Überprüfung und Verbesserung im Sinne des PDCA‑Zyklus. Die wichtigsten Erfolgsfaktoren sind eine klare Führungsverantwortung, interdisziplinäre Kooperation, ein hohes Sicherheitsbewusstsein der Mitarbeitenden und die Integration von Sicherheitsanforderungen in alle Facility‑Management‑Prozesse. Für Leiterinnen und Leiter im Facility Management bedeutet dies, dass Sicherheitsmanagement zu den Kernkompetenzen gehört. Sie müssen in der Lage sein, Risiken zu identifizieren, Sicherheitskonzepte zu entwickeln, Budgets zu priorisieren und die Wirksamkeit der Maßnahmen nachzuweisen.

Geordnete Umsetzung von Sicherheitsmaßnahmen im Unternehmen

Risikomanagement als Ausgangspunkt

Die Umsetzung von Sicherheitsmaßnahmen beginnt mit einer gründlichen Risikoanalyse. Der erwähnte CAFM‑Blog unterstreicht, dass eine umfassende Risikoanalyse physische, technische, organisatorische und menschliche Risiken erfasst und bewertet. Sie bildet die Grundlage für die Auswahl geeigneter Maßnahmen und ermöglicht eine priorisierte Ressourcenverteilung. Moderne Risikomanagementmethoden orientieren sich am ISO‑31000‑Standard. Dieser fordert eine kontinuierliche Verbesserung des Risikomanagements und empfiehlt die Integration des Plan‑Do‑Check‑Act‑Zyklus. Das Prozessmodell CRISAM®, das in vielen Organisationen Anwendung findet, erfüllt die Anforderungen von ISO 31000 und strukturiert das Risikomanagement in sechs Schritte, wobei sowohl top‑down als auch bottom‑up die Bereiche Strategie, Organisation, Prozesse und Infrastruktur betrachtet werden.

Planungsphase (Plan)

In der Planungsphase werden Ziele definiert, Risiken identifiziert und bewertet sowie Strategien zur Risikobehandlung festgelegt. Der PDCA‑Zyklus, den DNV in seinem Leitfaden erläutert, verlangt, dass in dieser Phase Ziele und Prozesse im Einklang mit der Unternehmenspolitik festgelegt werden. Hierzu zählen die Festlegung von Schutzzielen (Vertraulichkeit, Integrität, Verfügbarkeit) sowie die Auswahl der Sicherheitsstrategien (Prävention, Detektion, Reaktion). Für Facility‑Manager beinhaltet dies die Analyse baulicher Gefahren (z.B. Brandlasten), technischer Schwachstellen (z.B. Zutrittskontrollsysteme), organisatorischer Defizite (z.B. fehlende Notfallpläne) und menschlicher Risiken (z.B. fehlendes Sicherheitsbewusstsein). Eine Gap‑Analyse zur Abschätzung des Aufwands kann helfen, bereits bestehende Maßnahmen zu erfassen und Lücken zu identifizieren.

Umsetzungsphase (Do)

In der Do‑Phase werden die geplanten Maßnahmen implementiert. Dazu zählen organisatorische, technische und personelle Maßnahmen.

Der CAFM‑Blog beschreibt verschiedene Maßnahmenbereiche:

  • Brandschutz und Evakuierungsplanung: Installation von Rauchwarnmeldern, Sprinkleranlagen, Erstellung von Evakuierungsplänen und Durchführung regelmäßiger Übungen.

  • Zutrittskontrolle und Überwachung: Einsatz von mechanischen oder elektronischen Zugangssystemen (Schlüssel, Karten, biometrische Systeme) und Videoüberwachung.

  • Arbeitsschutz und Instandhaltung: Regelmäßige Inspektionen, die Bereitstellung persönlicher Schutzausrüstung, Einhaltung von Sicherheitsregeln und Schulungen.

  • Informationssicherheit: Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach BSI‑Grundschutz oder ISO 27001. Laut dem Fachartikel IT‑Sicherheit: Auch für die Kleinen berücksichtigt der IT‑Grundschutz Organisation, Personal, Technik und Infrastruktur und sichert sie im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ab. Die Methode wurde modernisiert, um Unternehmen ein flexibles Einstiegsmodell zu bieten (Basis‑Absicherung) und schrittweise eine Kern‑ oder Standard‑Absicherung zu ermöglichen. Durch die Umsetzung weiterer Bausteine kann das Sicherheitsniveau systematisch erhöht werden.

Überprüfung (Check)c

Die Check‑Phase dient der kontinuierlichen Überwachung und Bewertung der implementierten Sicherheitsmaßnahmen. Das Überprüfen der Wirksamkeit von Maßnahmen sowie die Überwachung regulatorischer Anforderungen sind die wesentlichen Elemente dieser Phase. In der Praxis sollte das Facility‑Management regelmäßige Audits durchführen, Prüfroutinen (z.B. Brandschutzinspektionen, Funktionstests von Notfallsystemen) etablieren und Kennzahlen definieren. Externe Audits und Zertifizierungen können die Effektivität des Sicherheitsmanagements unabhängig nachweisen und schaffen Vertrauen bei Stakeholdern.

Verbesserung (Act)

Die letzte Phase des PDCA‑Zyklus umfasst die Anpassung und Verbesserung des Sicherheitsmanagements. Basierend auf den Ergebnissen der Überprüfung werden Prozesse und Maßnahmen aktualisiert. DNV weist darauf hin, dass die Act‑Phase die Implementierung von Änderungen zur Sicherstellung der kontinuierlichen Verbesserung und die Anpassung an neue Risiken und regulatorische Anforderungen beinhaltet. Beispiele sind die Aktualisierung von Risikoanalysen, die Anpassung von Notfallplänen an veränderte Gebäudestrukturen oder neue Bedrohungsformen (z.B. Cyber‑Erpressung), die Aktualisierung von Software oder die Nachrüstung physischer Sicherheitseinrichtungen. Auch das Schulungsprogramm muss regelmäßig angepasst werden; der CAFM‑Blog betont die Bedeutung von Schulungen und Sensibilisierungsmaßnahmen für Beschäftigte. Denn fehlendes Sicherheitsbewusstsein gilt als einer der größten Risikofaktoren in Unternehmen.

Ganzheitliche Sicherheitsmaßnahmen und ihre Anwendung - Technische und bauliche Sicherheit

Technische Maßnahmen bilden das Rückgrat physischer Sicherheit. Sie reichen von Gebäudeschutz (Zäune, Türen, Fenster) über Brandmelde‑ und Löschanlagen bis hin zu Zutrittskontrollen und Videoüberwachung. Bauliche und technische Maßnahmen müssen stets mit organisatorischen Prozessen verknüpft sein; ein Zutrittskontrollsystem ist nur wirkungsvoll, wenn klare Regelungen bestehen, wer Zugang erhält und wie Schlüssel oder Karten verwaltet werden. Brandschutztechnik muss durch Notfall- und Evakuierungspläne ergänzt werden, die regelmäßig geübt werden.

IT‑Systeme und Gebäudeautomation unterliegen besonders hohen Sicherheitsanforderungen. Die steigende Vernetzung – Stichwort Smart Building – führt zu neuen Angriffsflächen. Facility management weist darauf hin, dass Viren, Würmer oder Hacker‑Angriffe Hard- und Software schädigen und Geschäftsabläufe lahmlegen können. Der Schutz der IT umfasst physische Maßnahmen (z.B. klimatisierte Serverräume), technische Maßnahmen (Firewall, Intrusion Detection Systeme), organisatorische Maßnahmen (Zugangsrechte, Patch‑Management) sowie Schulungen. Der IT‑Grundschutz bietet drei Stufen (Basis‑, Kern‑ und Standard‑Absicherung), sodass kleine und mittelgroße Unternehmen pragmatisch beginnen und das Sicherheitsniveau schrittweise erhöhen können.

Organisatorische und personelle Maßnahmen

Strukturierte Prozesse und klare Verantwortlichkeiten sind entscheidend für wirksame Sicherheitsmaßnahmen. Der CAFM‑Blog betont die Notwendigkeit von Notfallplänen, klaren Zuständigkeiten und regelmäßigen Übungen. Mitarbeitende müssen Sicherheit als Teil ihrer Arbeitskultur verstehen. Die Gewährleistung der Gesundheit und Sicherheit von Besuchern und Mitarbeitern ist eine vorrangige Aufgabe im Facility Management; dazu gehören die regelmäßige Instandhaltung der Systeme, die frühzeitige Erkennung von Gefahren, die Entwicklung von Störungsplänen und eine aktuelle Dokumentation der Sicherheitsverfahren. Sicherheit darf sich nicht auf die Erfüllung minimaler Vorschriften beschränken, sondern muss mögliche Bedrohungen antizipieren.

Schulungen dienen dazu, das Sicherheitsbewusstsein zu stärken und Verhalten zu verändern. In der IT‑Sicherheit kommt es häufig vor, dass Mitarbeitende durch Phishing‑Angriffe Opfer von Social Engineering werden. Um solche menschlichen Schwachstellen zu reduzieren, sind regelmäßige Sensibilisierungsprogramme, Rollenspiele und Notfallübungen unerlässlich. Darüber hinaus sollten Sicherheitsprozesse dokumentiert und in Managementsystemen integriert sein, sodass jeder Mitarbeitende seine Rolle kennt.

Rechtliche und normative Rahmenbedingungen

Das Sicherheitsmanagement muss gesetzlichen Anforderungen entsprechen. Datenschutzgesetze (z.B. DSGVO), Arbeitsschutzvorschriften und spezifische Branchenstandards (z.B. IT‑Sicherheitsgesetz, KRITIS‑Verordnung) definieren Mindestanforderungen. Der Facility‑Management‑Beitrag „IT‑Sicherheit: Auch für die Kleinen“ betont, dass der BSI‑Grundschutz eine anerkannte Grundlage für Datenschutz und IT‑Sicherheit bildet und gleichzeitig die Anforderungen der ISO 27001 erfüllt. Für Kritische Infrastrukturen ist eine Zertifizierung nach IT‑Grundschutz verpflichtend. Unternehmen sollten daher frühzeitig klären, welche Zertifizierungen erforderlich sind und wie sie in den Projektplan integriert werden können.

Herausforderungen bei der Umsetzung und Handlungsempfehlungen

Die Implementierung von Sicherheitsmaßnahmen ist ein dynamischer und komplexer Prozess.

Nachfolgend werden zentrale Herausforderungen und darauf basierende Empfehlungen aufgeführt:

  • Komplexität der Bedrohungen: Die Vielfalt physischer und digitaler Gefahren erfordert interdisziplinäre Kompetenzen. Facility‑Manager sollten Teams mit Expertise in Brandschutz, IT‑Security und Recht aufbauen und externe Spezialisten hinzuziehen. Risikomanagementmethoden integrieren verschiedene Perspektiven (Strategie, Organisation, Prozesse, Infrastruktur).

  • Ressourcen- und Budgetbeschränkungen: Gerade in kleinen und mittelgroßen Unternehmen ist die Finanzierung umfassender Sicherheitsprogramme schwierig. Projekte sollten anhand von Risiko und Schutzbedarf priorisiert werden.

  • Organisationskultur: Sicherheitsmaßnahmen sind nur wirksam, wenn sie von allen Beteiligten gelebt werden. Führungskräfte müssen mit gutem Beispiel vorangehen und die Sicherheitskultur fördern. Kommunikation und Schulungen sind wesentliche Instrumente.

  • Technologische Veränderungen: Neue Technologien wie Cloud‑Services, IoT‑Geräte und Gebäudeautomation schaffen neue Angriffsflächen. Sicherheitskonzepte müssen flexibel sein und regelmäßig aktualisiert werden (Act‑Phase des PDCA). Die Integration von Sicherheitsanforderungen in die Beschaffungsprozesse verhindert, dass neue Systeme ungesicherte Lücken reißen.

  • Datenschutz und Compliance: Unternehmen müssen Datenschutzanforderungen erfüllen und Nachweise erbringen. Ein zertifiziertes ISMS erleichtert Compliance und schafft Vertrauen bei Kunden, Partnern und Behörden. Compliance‑Management sollte Teil des Sicherheitsprozesses sein.