Unternehmenssicherheit: Festlegung der Schutzziele

Die Festlegung von Schutzzielen erfolgt im Rahmen eines strukturierten Planungs- und Managementprozesses. Typischerweise ist dieser eng mit dem Risikomanagement-Prozess verzahnt. In diesem Kapitel wird beschrieben, wie Unternehmen systematisch vorgehen können, um passende Schutzziele zu ermitteln. Dazu gehören die Identifikation von Schutzobjekten, die Analyse der Gefährdungen, die Bewertung der Risiken und schließlich die Formulierung der Schutzziele in Verbindung mit der Auswahl geeigneter Maßnahmen. Viele Best-Practice-Modelle, ob aus Normen (z.B. ISO-Riskomanagement) oder aus der Unternehmenspraxis, stimmen in den Grundzügen überein. Wir orientieren uns an einem allgemein gültigen Ablauf und illustrieren die Schritte mit Beispielen.

• Schutzobjekte und Werte identifizieren: Zunächst bestimmt das Unternehmen, was geschützt werden soll. Das können Personen(gruppen), Sachwerte (Gebäude, Maschinen, Produkte), immaterielle Werte (Daten, Reputation, Know-how) und Prozesse/Funktionen (z.B. Fertigung, IT-Services) sein. Jedes dieser Güter hat potenziell einen unterschiedlichen Schutzbedarf. Dieser Schritt ist wichtig, um den Geltungsbereich des Sicherheitskonzepts abzustecken.

• Gefährdungen und Bedrohungen ermitteln: Für jedes Schutzobjekt werden die relevanten Gefährdungen identifiziert. Hier unterscheidet man häufig Gefährdungsarten wie natürliche Gefahren (z.B. Hochwasser, Sturm – meist Safety), technisches Versagen (Stromausfall, Systemfehler), und vor allem vorsätzliche menschliche Handlungen (Einbruch, Diebstahl, Hacking, Sabotage, etc.). Die Bedrohungsanalyse schaut konkret auf Tätertypen, Motive und Szenarien: Welche Angreifer könnten uns treffen? Mit welcher Methodik? Gibt es bekannte Vorfälle in der Branche? Für globale Unternehmen gehört dazu auch die geopolitische Lage für ausländische Standorte. Externe Informationsquellen (Behördenwarnungen, Branchenverbände, Sicherheitsexperten) werden zur Lageeinschätzung herangezogen.

• Schwachstellenanalyse: Parallel betrachtet man die vorhandenen Sicherheitsmaßnahmen und prüft, wo Lücken bestehen. Oftmals wird ein Soll-Ist-Vergleich gemacht: welche Schutzvorkehrungen sind bereits da, wo gibt es Unter- oder auch Überschutz. Diese Analyse erfolgt z.B. durch Audits, Begehungen, technische Prüfungen und Interviews mit Verantwortlichen.

• Risikobewertung: Nun werden die Informationen zusammengeführt, um das Risiko pro Szenario abzuschätzen. Risiko ergibt sich klassisch aus Schadenshöhe x Eintrittswahrscheinlichkeit. Unternehmen nutzen hierfür oft Risikomatrizen. Wichtig ist, unterschiedliche Schadenkategorien zu betrachten: finanzielle Schäden, Personenschäden, Imageschäden, Betriebsunterbrechung etc. Beispielsweise hat der Diebstahl eines Laptops evtl. einen moderaten finanziellen Schaden, aber einen hohen potenziellen Reputations- oder Datenverlustschaden. Die Risikobewertung kann qualitativ (Hoch/Mittel/Niedrig) oder quantitativ (€ und % Wahrscheinlichkeiten) erfolgen, je nach Datenlage.

• Definition von Schutzzielen: Basierend auf dem Risikoprofil legt das Management die gewünschten Sicherheitsniveaus fest. Für hohe Risiken sind strenge Schutzziele erforderlich (z.B. "Verhinderung mit hoher Wahrscheinlichkeit"), für geringere Risiken genügen basale Ziele. Dieser Schritt ist entscheidungsorientiert: Hier fließen Unternehmensziele, Risikoappetit und auch rechtliche Vorgaben zusammen. Oft wird pro Schutzobjekt ein Schutzzielkatalog erstellt. Beispiel aus der Praxis eines Standort-Sicherheitskonzepts: Schutzziele: Sicherung der Betriebsabläufe (Unterbrechungen < X Stunden selbst bei Notfällen), Personensicherheit (keine Personenschäden durch Sicherheitsvorfälle), Schutz materieller Werte (Diebstahlschäden < Y € p.a.), Schutz immaterieller Werte (keine unautorisierten Veröffentlichungen vertraulicher Informationen). Diese Ziele können in ihrer Formulierung unternehmensspezifisch angepasst sein, sollten aber klar Prioritäten widerspiegeln.

• Maßnahmenableitung und -planung: Aus jedem Schutzziel werden konkrete Sicherheitsmaßnahmen abgeleitet, um das Ziel zu erreichen. Das umfasst bauliche Maßnahmen, technische Systeme, organisatorische Prozesse und personelle Vorkehrungen (oft als Sicherheitssäulen bezeichnet). Hier greift der Grundsatz der Ausgewogenheit: Nur ein stimmiger Mix aus Technik, Organisation und Personal gewährleistet Wirksamkeit. Beispielsweise nützt die beste Alarmanlage wenig ohne geschultes Personal zur Reaktion, und umgekehrt. Bei der Maßnahmenauswahl werden zudem Kosten-Nutzen-Aspekte und praktische Machbarkeit betrachtet – d.h. welche Maßnahmen sind angemessen (vgl. Verhältnismäßigkeitsgrundsatz). Ein Maßnahmenkatalog mit Prioritäten entsteht. Ggf. sind mehrere Alternativen abzuwägen.

• Implementierung der Maßnahmen: Die beschlossenen Maßnahmen werden umgesetzt: Installation von Technik, Schulungen, Entwicklung von Richtlinien, Abschluss von Dienstleister-Verträgen etc. Das Facility Management spielt hier oft eine große Rolle, insbesondere bei baulich-technischen Maßnahmen am Standort (Zutrittskontrollanlagen, Kameraüberwachung, Zaunsicherung usw.). Organisatorische Maßnahmen könnten z.B. neue Dienstanweisungen für Besucherzutritt sein, personelle Maßnahme die Einstellung von Sicherheitspersonal oder Einbindung eines Sicherheitsdienstleisters.

• Wirksamkeitskontrolle und Monitoring: Nachdem das Sicherheitskonzept umgesetzt ist, endet der Prozess nicht. Im Sinne eines PDCA-Zyklus (Plan-Do-Check-Act) müssen die Schutzziele und Maßnahmen regelmäßig überprüft werden. Indikatoren wie Anzahl von Sicherheitsvorfällen, Testergebnisse (z.B. Penetrationstests in der IT, Red-Team-Übungen in der physischen Sicherheit), Auditfeststellungen usw. zeigen, ob Ziele erreicht werden. Wenn nicht, wird nachjustiert – entweder Schutzziele realistischer neu definieren oder zusätzliche Maßnahmen ergreifen. Gerade in großen Unternehmen etabliert man hierfür ein Security-Controlling mit klaren Kennzahlen und Berichtswegen bis zur Leitung.

Dieser Prozess ist nicht strikt linear, vielmehr iterativ. Beispielsweise kann die Erkenntnis aus der Wirksamkeitskontrolle sein, dass neue Bedrohungen aufgetaucht sind, was zurück zur Gefährdungsanalyse führt. Oder es werden im Laufe der Maßnahmenumsetzung neue Schwachstellen entdeckt (Stichwort: "Soll-Ist-Vergleich" auch initial schon erwähnt). Wichtig ist, dass die Unternehmensleitung eingebunden ist – sie trägt letztlich Verantwortung und muss wesentliche Schutzziele und Maßnahmen genehmigen, insbesondere wenn es um strategische Weichenstellungen oder erhebliche Investitionen geht. Best Practice ist es, wenn der Sicherheitsverantwortliche direkt an einen Vorstand berichtet und ausreichend Ressourcen hat, um den Prozess durchzusetzen.

Ein zentraler Aspekt ist die Festlegung des akzeptablen Restrisikos – sprich, welches Maß an Unsicherheit das Unternehmen bereit ist einzugehen. Kein Sicherheitskonzept kann 100% Sicherheit garantieren; es geht immer um Risikoreduktion auf ein vertretbares Maß. Diese Risikoakzeptanz ist ein Steuerungsparameter der Geschäftsführung und oft kulturell geprägt. Manche Unternehmen (z.B. in der chemischen Industrie oder Luftfahrt) haben eine Null-Toleranz-Mentalität gegenüber bestimmten Risiken (etwa tödliche Unfälle), andere kalkulieren gewisse Verluste ein (Einzelhandelsfilialen etwa einen gewissen Schwund durch Ladendiebstahl).

Die Schutzbedarfskategorien helfen, diese Entscheidungen greifbarer zu machen. Üblich sind Einstufungen wie: normaler Schutzbedarf, hoher Schutzbedarf, sehr hoher Schutzbedarf. Beispielsweise im IT-Grundschutz des BSI werden drei Stufen verwendet, um anzugeben, wie kritisch ein Schaden wäre. Für normalen Schutzbedarf genügen Basismaßnahmen, für sehr hohen muss man zusätzliche, oft spezialisierte Maßnahmen treffen und das Restrisiko minimal halten (ggf. sogar Redundanzen, diversitäre Schutzmaßnahmen etc.). Die Zuordnung eines Assets zu einer Schutzbedarfsklasse entspricht damit der Schutzzielvorgabe: "Bei Hoch kritisch muss das Schutzziel derart sein, dass praktisch kein Ausfall passieren darf" – was dann z.B. zu Vorgaben wie Verfügbarkeit ≥ 99,99% oder keine Single-Point-of-Failure führt.

In der Praxis empfiehlt es sich, die Ableitung der Schutzziele nachvollziehbar zu dokumentieren. Wenn später gefragt wird "Warum investieren wir so viel in die Sicherung unseres Rechenzentrums?", sollte man aufzeigen können: Schutzbedarf sehr hoch (weil sonst gesamte Produktion steht), Schutzziel entsprechend streng (z.B. unterbrechungsfreie Stromversorgung gewährleistet, 24/7 Monitoring etc.), daher diese Maßnahmen. Dieser Nachweis wird auch im Versicherungsfall oder bei Audits relevant – er zeigt, dass das Unternehmen organisiert und systematisch mit Sicherheit umgeht (Stichwort Organisationspflicht).

Ein weiterer Punkt ist die Kombination von Security- und Safety-Risiken in der Schutzbedarfsermittlung. Im Facility Management-Kontext kann man einen kombinierten Ansatz wählen: z.B. eine Fabrikanlage hat Schutzbedarf X in Bezug auf Unfälle (Safety) und Y in Bezug auf Sabotage (Security). Im Sicherheitskonzept könnte man die höhere Einstufung jeweils als Maßstab nehmen oder getrennte Schutzziele formulieren.

Nachdem Schutzziele festgelegt sind, müssen sie im Unternehmen kommuniziert und verankert werden. Meist geschieht dies durch Sicherheitsleitlinien oder Policies. Ein Konzern könnte z.B. eine Konzernsicherheitsrichtlinie haben, in der die obersten Schutzziele formuliert sind (z.B. "Wir schützen unsere Mitarbeiter und Werte umfassend; Sicherheit hat Vorrang vor wirtschaftlichen Interessen, wenn Leben oder Gesundheit in Gefahr sind" – solch allgemeine Leitsätze). Darunter folgen bereichsspezifische Richtlinien: etwa eine IT-Sicherheitsrichtlinie nennt die Schutzziele für Informationsverarbeitung (z.B. "Vertraulichkeit von Kundendaten ist jederzeit zu gewährleisten"), eine Reisesicherheitsrichtlinie definiert, wie Reisen zu genehmigen sind und welche Vorsichtsmaßnahmen zu ergreifen sind, um das Schutzziel "sichere Dienstreise" zu erreichen. Eine Notfall- und Krisenmanagement-Policy wiederum hält fest, dass Geschäftsprozesse gegen Unterbrechungen abgesichert werden (Schutzziel Kontinuität) und wer im Krisenfall welche Verantwortung hat.

Organisatorisch verankert werden Schutzziele auch durch Zuweisung von Verantwortlichkeiten: Es sollte klar dokumentiert sein, wer wofür zuständig ist. Beispielsweise wird festgelegt, dass der Leiter Werkschutz am Standort A verantwortlich ist für die Einhaltung der Schutzziele bzgl. Objektschutz (z.B. kein unbefugter Zutritt). Oder der CISO (Chief Information Security Officer) ist verantwortlich, dass die Schutzziele der Informationssicherheit eingehalten werden. Diese Verantwortlichkeiten gehören in Stellenbeschreibungen und interne Kontrollen.

Es sei erwähnt, dass Schutzziele auch auf technischer Ebene in Standards gegossen werden. So kann in technischen Spezifikationen stehen: "Für Gebäudezone X gilt Sicherheitsstufe 4 nach interner Norm, d.h. 24h Videoüberwachung, Zugang nur mit 2-Faktor-Authentifizierung etc." – das sind konkrete Ausprägungen der abstrakten Schutzziele "Schutz vor unbefugtem Zutritt und vor unbemerktem Eindringen". Viele Unternehmen entwickeln interne Sicherheitsstandards (z.B. Minimum Security Standards für Niederlassungen global), die weltweit einheitliche Schutzziel-Levels vorgeben, selbst wenn lokale Risiken unterschiedlich sind. Solche Standardisierung hilft, ein Grundschutzniveau überall zu gewährleisten und vereinfacht die Planung.

Menschen – seien es Mitarbeiter, Besucher, Kunden oder externe Partner – sind das höchste Gut eines Unternehmens. Entsprechend steht der Schutz von Leib und Leben an oberster Stelle der Sicherheitsprioritäten. In diesem Kapitel betrachten wir Schutzziele und Maßnahmen rund um die personelle Sicherheit, die sowohl den Alltag am Arbeitsplatz (Werksgelände, Büro) als auch besondere Situationen wie Geschäftsreisen ins Ausland oder den Schutz von Führungskräften umfasst.

• Personensicherheit am Standort (Arbeitnehmer und Besucher vor Ort schützen, einschließlich Schutz vor Gewalttaten, Amoklagen, medizinischen Notfällen, usw.)

• Reisesicherheit und Expat-Schutz (Schutz von Mitarbeitern außerhalb des sicheren Heimatumfelds, z.B. auf Reisen, in Krisenregionen, bei Entsendungen ins Ausland).

• Schutzziele: In Bezug auf die Personensicherheit vor Ort formulieren Unternehmen oft Ziele wie "Schutz der Mitarbeiter vor körperlicher Gewalt und Gefährdungen am Arbeitsplatz", "Verhinderung von Arbeitsunfällen und Gesundheitsschäden" (hier Überschneidung mit Safety), sowie "Schnelle Hilfeleistung im Notfall sicherstellen". Konkret kann das bedeuten: Es darf keine unbefugten Eindringlinge geben, die Mitarbeiter bedrohen (Zutrittsschutz gegen externe Täter), interne Täter (z.B. eskalierende Mitarbeiter oder soziale Spannungen) sollen früh erkannt und gestoppt werden, und bei medizinischen Notfällen oder Bränden sollen alle Personen rasch gerettet werden können. Ein generelles Schutzziel lautet häufig: Unversehrtheit aller anwesenden Personen gewährleisten.

• Gefahrenlage: Bedrohungen für Personen am Standort können vielfältig sein.

• Externe kriminelle Angriffe: Ein bewaffneter Überfall, terroristischer Anschlag auf die Firma, Geiselnahme, Diebstahl unter Gewaltandrohung.

• Interne Gewaltereignisse: Amoklauf eines (Ex-)Mitarbeiters, physische Auseinandersetzungen, Bedrohungen durch entlassene Angestellte.

• Allgemeinkriminalität: Belästigung, Diebstahl persönlicher Gegenstände, Raub im Umfeld des Betriebs (Parkplatz etc.).

• Katastrophen: Feuer, Explosion, Gebäudeeinsturz – hier ist wieder Safety im Spiel, aber relevant für Personenschutz.

• Epidemien/Gesundheitsrisiken: wie jüngst COVID-19, wo Schutzkonzepte am Arbeitsplatz nötig sind.

Zum Schutz der Personen am Standort werden in der Regel mehrschichtige Sicherheitszonen und Zugangsregelungen eingerichtet. Ein bewährtes Konzept ist die Einrichtung von Sicherheitszonen mit gestaffelten Zugangsbeschränkungen:

• Öffentliche Zone (z.B. Empfangsbereich) – hier niedrigste Sicherheitsstufe, jedoch immer noch Überwachung (Empfangspersonal, Video).

• Interne Zone (Büros etc.) – nur Mitarbeitern mit Ausweis zugänglich, Kontrollsysteme (Drehkreuze, Kartenscanner).

• Kritische Zone (Labor, Rechenzentrum, Tresorraum) – stark beschränkt, evtl. 2-Faktor-Zutritt, separate Alarmierung.

Das Zutrittskontrollsystem in Kombination mit physischer Barriere (Zäune, Türen, Schleusen) stellt sicher, dass Unbefugte gar nicht erst an die Mitarbeiter herankommen. Sicherheitsdienst oder Werkschutz-Personal patrouilliert oft und steht am Empfang, um im Zweifel einzugreifen. Eine ständige Videoüberwachung kann zusätzlich potenzielle Täter abschrecken und frühzeitig erkennen. Ebenso werden Alarmierungssysteme vorgehalten (stille Alarme, Notfallknöpfe), um bei einer Gewaltsituation sofort Hilfe (Polizei, interne Interventionskräfte) rufen zu können.

Ein wichtiger Teil ist auch die organisatorische Vorbereitung auf Personengefährdungen: Notfallpläne für Amok- oder Terrorlagen (-> z.B. "Run, Hide, Fight"-Protokolle), regelmäßige Übungen (Evakuierungsübungen, Amok-Drills), Einrichtung von Krisenteams. Mitarbeiter werden geschult, Gefahren zu melden (Sicherheitsbewusstsein, "See something, say something"). So schafft man eine Kultur, in der auffälliges Verhalten nicht ignoriert wird.

• Erwähnenswert ist auch der Arbeitsschutz in diesem Kontext: Während hier primär auf vorsätzliche Gefahren abgezielt wird, sorgt gutes Arbeitsschutzmanagement (Schulungen, Betriebliches Gesundheitsmanagement, Brandschutzhelfer etc.) ebenfalls dafür, dass Personen sicher sind. Alles zusammen ergibt ein umfassendes Schutzkonzept.

• Executive Protection: Eine Sonderrolle in großen Unternehmen spielt der Schutz von Führungskräften (Personenschutz). Top-Manager oder exponierte Personen können gezielt bedroht werden (z.B. durch Erpressung, Terroranschläge). Wenn ein Unternehmen entscheidet, dass eine Führungsperson gefährdet ist, werden zusätzliche Schutzziele gesetzt: z.B. "100%ige Sicherheit des CEO während Transporten und öffentlichen Auftritten". Um das zu erreichen, greift man auf Personenschützer, gepanzerte Fahrzeuge, Routenplanung und polizeiliche Kooperation zurück. Dieser Bereich ist hochspezialisiert und oft mit externen Sicherheitsfirmen oder Polizei abgestimmt. Für die meisten Mitarbeiter ist das nicht notwendig, aber es zeigt die Bandbreite personeller Sicherheitsmaßnahmen.

• Erfolgskontrolle: Personensicherheit ist schwer in KPIs zu messen, da im Idealfall nichts passiert. Man trackt Vorfälle (Anzahl aggressiver Zwischenfälle, Hausfriedensbruch etc.). Auch Mitarbeiterbefragungen zum Sicherheitsgefühl sind Indikatoren. Das Schutzziel "keine Verletzten durch Sicherheitsvorfälle" ist absolut – jeder Vorfall würde dieses Ziel verfehlen. Daher setzt man in der Praxis eher auf alles Mögliche getan zu haben, was durch Audits geprüft wird (z.B. Zertifizierungen im Bereich Arbeitsschutzmanagement oder Security Audits).

Die Reisesicherheit (Travel Security) verdient besondere Betrachtung, da hier die Schutzbedingungen vom kontrollierten Firmenumfeld losgelöst sind. Mitarbeiter auf Dienstreise – insbesondere in Regionen mit besonderen Sicherheitsrisiken – sind vielfältigen Gefahren ausgesetzt: Kriminalität (Raub, Entführung), politische Risiken (Unruhen, Krieg), Terrorismus, extreme Wetterereignisse, Gesundheitsrisiken (fehlende medizinische Versorgung, Krankheiten) u.v.m..

• Schutzziele: Hauptziel ist, wie oben erwähnt, die Minimierung des zusätzlichen Lebensrisikos auf Reisen. Das heißt konkret: Kein Mitarbeiter soll durch eine berufliche Reise Schaden an Gesundheit oder Leben nehmen. Weitere Ziele: Gewährleistung der Erreichbarkeit und Information der Reisenden in Krisenfällen, Organisation einer schnellen Evakuierung/Hilfe wenn nötig, und Prävention von Vorfällen durch Vorbereitung. Für Expats (langzeitentsandte Mitarbeiter) kommen Ziele wie "stabile sichere Wohn- und Arbeitsbedingungen im Gastland" hinzu.

• Maßnahmen und Umsetzung: Ein systematisches Travel Risk Management Programm beinhaltet typischerweise:

• Risikobewertung der Destination: Länder werden in Risikokategorien eingeteilt (grün, gelb, rot o.ä.). Informationsquellen sind z.B. Auswärtiges Amt Reisewarnungen, Sicherheitsberater oder spezialisierte Anbieter.

• Reiserichtlinie: Das Unternehmen legt fest, wann Reisen genehmigt werden (z.B. Hochrisikoländer nur mit Vorstandsfreigabe), welche Verkehrsmittel bevorzugt werden (evtl. kein Nachtfahren mit dem Auto in unsicheren Gegenden), und welche Schutzmaßnahmen getroffen werden müssen (z.B. Nutzung bestimmter Hotels mit Sicherheitsstandards, Begleitschutz in gefährlichen Städten, Sicherheitsfahrer anstellen, etc.).

• Training und Vorbereitung: Mitarbeiter erhalten vorab Sicherheitstrainings für das jeweilige Land (Kultur, Do's and Don'ts, Verhalten bei Überfall etc.). Notfallkontakte (Security-Hotline des Unternehmens, Vertragspartner vor Ort) werden dem Reisenden gegeben. Evtl. wird ein Notfalltracking eingerichtet (Reisende melden sich täglich, oder werden via App geortet).

• Medizinische Vorsorge: Impfungen, Reiseapotheke, Info über Gesundheitssystem im Zielland.

• Monitoring: Ein Reiseüberwachungsdienst (manchmal über Anbieter wie International SOS) beobachtet die Lage. Wenn in dem Land etwas passiert (z.B. Anschlag, Naturkatastrophe), wird überprüft, ob Mitarbeiter vor Ort betroffen sein könnten. Es existiert ein stets aktueller Überblick, wer wo unterwegs ist (Reisedatenbank).

• Assistance-Leistungen: Sollte ein Vorfall eintreten, hat der Mitarbeiter Instruktionen, wie er Hilfe bekommt. Beispiele: Eine 24/7 Notfallnummer des Unternehmens oder Dienstleisters; Versicherungen für Krankenrücktransport; Absprachen mit Evakuierungsflugunternehmen bei politischen Krisen.

• Kommunikation: Die Firmenzentrale hält Kontakt, gibt Warnmeldungen an Reisende (z.B. "Meiden Sie heute die Innenstadt wegen Demonstrationen").

• Debriefing: Falls besondere Vorkommnisse waren, werden Lessons Learned gesammelt.

• Anpassung der Ländereinstufungen: Erfahrungswerte fließen ein.

Ein gut organisiertes Travel Security Management wird oft durch Policies untermauert. Wie eine Studie oder Leitfaden nahelegt: "Eine Policy Travel Risk Management bildet das Fundament und sollte die bestehende Reiserichtlinie ergänzen". Darin wird z.B. festgelegt, wer im Unternehmen für Reisesicherheit verantwortlich ist (oft Corporate Security in Zusammenarbeit mit HR und HSE-Abteilung), wie die Freigabeprozesse sind und mit welchem externen Dienstleister man kooperiert.

Expats (Auslandsentsandte) benötigen zusätzlich lokale Sicherheitskonzepte: Sicheres Wohnen (z.B. in bewachten Compounds), ggf. Fahrdienste, Notfallpläne bei Evakuierung, Schulplätze für Kinder in sicheren Einrichtungen, etc. Größere Firmen haben dafür Security Advisors in den Regionen oder kaufen Services ein. Auch der psychologische Aspekt ist wichtig – die Familie muss über Risiken aufgeklärt sein und damit umgehen können.

• Trendanpassung: Seit 2020 (COVID-Pandemie) hat sich gezeigt, dass gesundheitliche Risiken auf Reisen enorme Auswirkungen haben können. Firmen mussten plötzlich weltweite Rückholaktionen starten. Dies hat das Schutzziel "gesundheitliche Sicherheit" deutlich in den Vordergrund gerückt und Konzepte wie Pandemic Preparedness in Travel Policies integriert.

• Rechtliche Implikation: In Deutschland fällt Reisesicherheit in den Bereich der arbeitgeberseitigen Fürsorgepflicht. Kommt ein Unternehmen dem nachweislich grob nicht nach (z.B. schickt jemanden unvorbereitet in ein Hochrisikogebiet und es passiert etwas), könnten Haftungsfragen entstehen. Zudem fordern Normen implizit, dass Risiken durch Geschäftsreisen in das Sicherheitsmanagement einbezogen werden (bspw. ISO 31030 als internationaler Guidance Standard).

• Wirksamkeit: Der Erfolg von Reisesicherheit kann gemessen werden an der Anzahl der Zwischenfälle pro Reisen, an der Zufriedenheit der Reisenden mit dem Sicherheitssupport, und qualitativ daran, ob im Krisenfall die Prozesse greifen (wenn alle Mitarbeiter aus einem Krisengebiet evakuiert werden konnten, war das Schutzziel erreicht). Idealerweise passieren natürlich keine gravierenden Vorfälle – was aber oft auch dem Zufall bzw. externer Lage geschuldet ist. Daher ist ein Indikator auch die Qualität der Vorbereitung: Wurden 100% der Reisenden in Risikoländer vorher gebrieft? Haben alle Hochrisikoreisen ein Backup-Plan? Solche KPIs kann man tracken.

Personenschutz und Reisesicherheit sind elementare Bestandteile der Unternehmenssicherheit, da der Mensch im Mittelpunkt steht. Die beste Sachwertsicherung wäre ethisch undenkbar, wenn die Mitarbeiter ungeschützt blieben. Moderne Unternehmen bekennen oft ausdrücklich: "Safety and security of our employees is our top priority." – dieses Leitbild muss durch die richtigen Schutzziele und Maßnahmen mit Leben gefüllt werden.

Neben den Menschen sind Sachwerte – Gebäude, Anlagen, technische Einrichtungen, Warenlager, Fuhrpark etc. – wesentliche Güter, die es zu schützen gilt. Materielle Werte repräsentieren oft enorme finanzielle Investitionen und sind Grundvoraussetzung für die Betriebsabläufe. Ihre Beschädigung oder Zerstörung kann erhebliche wirtschaftliche Verluste und Betriebsunterbrechungen nach sich ziehen. In diesem Kapitel betrachten wir die physische Sicherheit des Unternehmens: den Schutz der Infrastruktur und Vermögensgegenstände vor Diebstahl, Vandalismus, Sabotage und sonstigen physischen Schäden. Dabei spielt das Facility Management eine Schlüsselrolle, da es für die meisten baulichen und technischen Sicherheitsmaßnahmen verantwortlich zeichnet.

Schutzziele: Im Objektschutz (oft auch Werkschutz genannt, wenn es um ein Werksgelände geht) lauten typische Ziele z.B.: "Verhinderung unbefugten Zutritts zu Unternehmensbereichen" (also Einbruchdiebstahl oder Spionage verhindern), "Schutz der Einrichtungen vor Sabotage und Vandalismus", "Diebstahl von Firmeneigentum vermeiden bzw. aufdecken" und "Schutz vor spionagebedingtem Abfluss von Wissen (z.B. durch unerlaubte Technikinstallationen oder Abhören)". Zusätzlich werden Umwelteinflüsse betrachtet: "Schutz vor Feuer, Wasser und sonstigen elementaren Schäden", was strenggenommen Safety ist, aber in baulichen Sicherheitskonzepten natürlich berücksichtigt wird.

Ein universelles Schutzziel im Objektschutz ist, Störungen des Betriebsablaufs durch physische Zwischenfälle zu minimieren. Das heißt, jeder Vorfall – ob Einbruch, Brand, Stromausfall – der den Betrieb lahmlegt, soll möglichst verhindert oder in seinem Schaden begrenzt werden. Bosch-Sicherheitschef Ehses formulierte: "Unternehmenssicherheit schafft Rahmenbedingungen zur Sicherstellung eines störungsfreien Betriebsablaufes". Genau das fasst Objektschutz und damit physische Sicherheit zusammen.

• Diebstahl (durch Externe oder Insider): Geräte, Produkte, Materialien können gestohlen werden. Besonders in Lagerhäusern und im Versand ein Thema (Warenschwund).

• Einbruch in Büros oder Labors: Täter könnten sensible Informationen oder Wertgegenstände entwenden.

• Vandalismus: Zerstörung aus Mutwillen (Graffiti, eingeschlagene Scheiben, Sabotageakte an Maschinen).

• Spionage vor Ort: Unbefugtes Eindringen, um Fotos zu machen, Abhörgeräte zu platzieren oder Datenträger zu kopieren.

• Sabotage: Zerstören kritischer Anlagen (z.B. Produktionsmaschinen manipulieren, IT-Hardware sabotieren).

• Protestaktionen: Bei bestimmten Branchen (z.B. Pharma, Energie) können Aktivistengruppen auf Gelände gelangen und dort Störungen verursachen.

• Organisierte Kriminalität: z.B. Banden, die gezielt Lager ausrauben (Elektronik, Pharmaka etc. sind begehrte Diebesgüter), oder die Mitarbeiter einschüchtern, um Zugang zu erhalten.

Physische Sicherheit wird klassischerweise mit dem Schichtenmodell angegangen – Außenhaut, Perimeter, Innenschutz

• Perimetersicherheit: Alles was das Gelände begrenzt: Zaun, Mauer, Tore, Schranken. Ziel: Unbefugte schon am Eindringen hindern. Moderne Zäune haben oft Sensorik (Erschütterungsmelder), es gibt Wärmebildkameras am Zaun und Sicherheitspersonal für Kontrollgänge. Zufahrten werden kontrolliert (Wächter, Kennzeichenerkennung, Poller gegen Durchbruch mit Fahrzeugen).

• Außenhautschutz: Gebäude selbst werden einbruchhemmend gestaltet: Fenster und Türen mit Widerstandsklassen, Einbruchmeldeanlagen (Magnetkontakte an Fenstern/Türen, Glasbruchmelder). Bei Büros z.B. Alarmanlagen die aktiviert sind außerhalb Arbeitszeit.

• Innenraumüberwachung: Bewegungsmelder in Räumen, insbesondere sensiblen Bereichen. Videoüberwachung in Fluren, Lagern und ähnlichem. Zutrittskontrolle an den Türen zu sensitiven Bereichen (Serverraum etc.).

• Objektbewachung: Sicherheitsdienst vor Ort – entweder 24/7 oder zumindest nachts/Wochenende. Das kann streifender Werkschutz sein oder eine ständig besetzte Leitstelle. Bosch z.B. setzt auf eine Kombination: Zutrittskontrollsysteme, Videotechnik mit intelligenter Sensorik im Außenbereich, ergänzt wo nötig durch Einbruchmeldetechnik, und natürlich Intervention durch Personal.

• Technische Sicherung: Über die Alarm- und Zugangstechnik hinaus: Brandmeldeanlagen, Wassersensoren (für Serverräume), USV (Unterbrechungsfreie Stromversorgung) gegen Stromausfall, Sprinkler/Löschanlagen etc. Diese technischen Einrichtungen schützen zwar primär vor nicht-menschlichen Gefahren (Feuer, Stromausfall), aber gehören ins Gesamtpaket Objektschutz, da sie die Folgen z.B. eines Brandanschlags mindern oder die Betriebsstörung minimieren.

• Administrative Maßnahmen: Kennzeichnung von Besuchern (Besucherausweise, Begleitungspflicht), Schlüsselausgabe streng regeln, Inventarverwaltung (um Diebstähle zu bemerken). Eine "bewährte Strategie" ist es, klare Zugangsrichtlinien zu definieren, sodass jeder weiß, wo er sich bewegen darf und wo nicht. Dadurch sinkt auch das Insider-Risiko, weil z.B. Mitarbeiter aus Abteilung A keinen Grund haben, in Bereich B zu sein, und wenn doch, fällt es auf.

• Bewusstsein: Mitarbeitende müssen sensibilisiert sein, Fremde anzusprechen ("Kann ich Ihnen helfen?" als indirekte Kontrollfrage), Bürotüren abschließen, Laptops nicht herumliegen lassen etc. Manchmal wird auch ein Belohnungssystem für das Melden von Sicherheitslücken eingeführt (z.B. wenn jemand eine offen stehende Tür findet und meldet, wird das positiv anerkannt).

Im Facility Management ist es üblich, Sicherheitskonzepte für Standorte zu erstellen, die genau diese Maßnahmen auf das Objekt zuschneiden. Schritt 1 darin war die Festlegung der Schutzziele (siehe Kapitel 3) – etwa "Sicherheit für materielle Werte" – und dann werden baulich-technische und organisatorische Maßnahmen daraus abgeleitet. In einem Beispiel-Sicherheitskonzept werden nach der Gefährdungsanalyse Vorschläge erarbeitet: baulich (z.B. höhere Zäune, Panzerglas), technisch (mehr Kameras, Alarmanlagen), organisatorisch (Schlüsselordnung, Evakuierungsplan) und personell (Wachdienst, Empfangsdienste).

Werkschutzorganisation: Größere Werke haben oft eine eigene Werkschutz-Abteilung mit ausgebildeten Kräften (ggf. sogar mit hoheitlichen Rechten wie Werkfeuerwehr oder Werkpolizei bei kritischen Infrastrukturen). Kleinere Standorte vergeben diese Aufgaben an einen Sicherheitsdienstleister. Wichtig ist in jedem Fall die Verbindung zur lokalen Polizei – im Ernstfall muss eine reibungslose Zusammenarbeit garantiert sein (z.B. via Alarmempfangszentralen).

• Zutrittskontrollanlagen Normen: Es gibt DIN-Normen, die vorschreiben, wie z.B. Zutrittskontrollsysteme beschaffen sein sollen (die genaue Normnennung wird hier ausgelassen, aber Stichwort DIN 77200 zertifizierte Systeme oder ähnliches, sowie Richtlinien der Versicherer (VdS)).

• Versicherungsauflagen: Unternehmen versichern ihre Werte gegen Diebstahl/Feuer etc. Versicherer fordern oft bestimmte Mindestmaßnahmen (Tresore, Alarm aufgeschaltet zum Wachdienst etc.), was wiederum Schutzziele beeinflusst – z.B. "Einbruch binnen X Minuten detektieren und Interventionskräfte alarmieren" kommt oft von Versicherungsbedingungen.

• Tests: z.B. Penetrationstests physischer Art (Sicherheitsberater versuchen, unangemeldet reinzukommen, um Lücken aufzuzeigen).

• Auswertung der Einbruchmeldeanlage-Protokolle: Wie oft gab es Alarme? Waren es Fehlalarme (dann System verbessern) oder reale Versuche?

• Schadensbilanz: wurde etwas gestohlen in Zeitraum X? Wenn ja, was war die Ursache?

• Wartungsreports der Technik: sind alle Systeme funktionsfähig (eine defekte Alarmanlage konterkariert das Schutzziel).

• Im Sinne von KPIs könnte man angeben: "Ziel: 0 erfolgreiche Einbrüche pro Jahr" oder "Reaktionszeit auf Alarm <= 5 min". Diese gilt es zu messen.

Objektschutz ist das Fundament der Unternehmenssicherheit – Schutz von Know-how oder Personenschutz kann nicht gelingen, wenn der Objektschutz mangelhaft ist. Insofern ist dieser Bereich oft einer der ersten, in den investiert wird, denn er ist sichtbar und unmittelbar wirksam.

Während 5.1 sich mehr auf das Physische bezog, sollen hier Übergangsthemen besprochen werden: Technische Systeme und immaterielle Werte. Diese überlappen mit dem nächsten Kapitel (IT- und Informationssicherheit) – jedoch gibt es materielle Träger von Informationen (Server, Akten) und technische Anlagen, die sowohl physischen als auch informationsbezogenen Schutz brauchen.

Produktionsanlagen und kritische Technik: Viele Unternehmen verfügen über teure Maschinen, Roboter, Anlagen, deren Ausfall gravierend wäre. Nebst dem Objektschutz (Zutrittsschutz etc.) haben diese oft eigene Sicherheitssteuerungen. Etwa Zutritt nur für befugtes Instandhaltungspersonal (organisatorisch via Berechtigungslisten), Manipulationsschutz an Steuerungseinheiten (plombierte Schaltschränke), Videoüberwachung der Produktionsbereiche. Sabotage an solchen Anlagen kann Produktionsstillstand und große Kosten verursachen

Betriebssicherheit der Anlagen gewährleisten, ungeplante Ausfälle durch Eingriffe vermeiden. Hier verschwimmt Security mit klassischer industrieller Anlagensicherheit und Instandhaltung (die kümmern sich um Zuverlässigkeit). Allerdings kommt neu hinzu das Feld OT-Security (Operational Technology Security): also Schutz vor Cyberangriffen auf Produktionssteuerungen. Das behandeln wir im Kapitel IT-Sicherheit intensiver

Physische Sicherheit von Lagern (inkl. Wertschutz für hochwertige Güter, z.B. Einhausungen, Alarmsicherungen) und Transportwegen (Thema Frachtklau, Überfälle auf Transporter) können in Schutzzielen berücksichtigt sein. Eine Firma kann definieren: "Transportsicherheit: Keine Verluste durch Diebstahl während Transporten", was dann u.a. GPS-Tracking von LKWs, versiegelte Container, Begleitfahrzeuge für Hochwerttransporte etc. bedingt. Im Facility Management-Bereich gehört oft die Werkslogistik dazu, entsprechend müssen dort Sicherheitsvorkehrungen (Zufahrtskontrollen, Diebstahlprävention im Versand) getroffen werden.

Immaterielle Werte – Schutz von Know-how: Hier ist die Brücke zur Informationssicherheit.

Immaterielle Werte wie Geschäftsgeheimnisse, Konstruktionspläne, Formeln, Kundendaten, Strategiepapiere sind vielfach sogar wertvoller als physische Güter. Schutzziele in diesem Kontext sind Geheimhaltung (Vertraulichkeit sicherstellen, keine unautorisierte Weitergabe), Integrität (Daten dürfen nicht unbemerkt verändert werden, was auch physisch z.B. Manipulation an Messwerten bedeuten kann), Verfügbarkeit (wichtige Informationen und Systeme müssen zugänglich bleiben, kein Ausfall). In Deutschland ist 2018 das Geschäftsgeheimnisgesetz in Kraft getreten, was Unternehmen verpflichtet, angemessene Geheimhaltungsmaßnahmen zu ergreifen, um Know-how rechtlich geschützt zu haben. Somit ist Schutz von Geschäftsgeheimnissen ein klares Schutzziel, das implizit auch gefordert ist.

• Physisch: Zutrittskontrolle und abschließbare Schränke für Akten, sauberer Schreibtisch (Clean Desk Policy, damit keine Dokumente offen rumliegen), Verbotszonen für elektronische Geräte (z.B. keine Handys in F&E-Laboren, um Fotos zu verhindern).

• Technisch: Abhörsicherheit in Besprechungsräumen (ggf. Störsender oder Detektoren für Wanzen), Zutritt nach Vier-Augen-Prinzip zu sensiblen Archiven.

• Organisatorisch: NDAs und Schulungen für Mitarbeiter, was geheim ist; klassifizieren von Dokumenten (Vertraulich, Geheim etc. mit entsprechenden Handlingvorschriften).

• Personell: Screening von Mitarbeitern in sensiblen Positionen (Zuverlässigkeitsüberprüfung, evtl. Sicherheitsüberprüfung wenn mit Regierungsgeheimnissen gearbeitet wird).

Ein R&D-Unternehmen könnte als Schutzziel definieren: "Verhinderung von Wirtschaftsspionageangriffen, insbesondere Schutz des betrieblichen Know-hows und der Daten sowie der Infrastrukturen". Das deckt Vertraulichkeit ab. Ehses (Bosch) erwähnte dies als wesentlichen Schwerpunkt neben der Gefährdung durch normale Kriminalität. Entsprechende Maßnahmen sind dort z.B. streng überwachte Entwicklungsbereiche, IT-Verschlüsselung, aber auch Travel Security (Mitarbeiter auf Geschäftsreisen keine vertraulichen Unterlagen ungeschützt mitnehmen lassen, Laptops verschlüsseln etc.).

Auch Wirtschaftsspionage durch Cyber (Hacking) oder Social Engineering (Mitarbeiter aushorchen, Phishing) fällt hier drunter – das verbindet sich mit IT-Sicherheit, was im nächsten Kapitel ausführlich folgt.

Physische Sicherheit ist nicht isoliert. Sie bildet das Fundament, auf dem andere Schutzmaßnahmen aufbauen. Ein Unternehmen kann hochmoderne Cybersecurity haben – wenn aber jemand nachts ins Büro einbricht und Server stiehlt oder abhört, ist die beste Firewall umgangen. Deshalb gilt: Die Kombination aus baulichem, technischem und organisatorischem Schutz ist entscheidend. Hierfür muss das Facility Management mit IT und anderen Abteilungen zusammenspielen, um z.B. beim Bau von Rechenzentren alle Anforderungen (Zutritt, Klimasicherheit, Feuerlöschanlage, USV) integrativ zu erfüllen.

In der heutigen vernetzten Wirtschaftswelt sind Informationen und IT-Systeme zum Nervensystem fast jedes Unternehmens geworden. Entsprechend hat die IT-Sicherheit (oft auch Cyber Security genannt) einen herausragenden Stellenwert innerhalb der Unternehmenssicherheit. Während Kapitel 5 den physischen Schutz tangierte, konzentrieren wir uns hier auf die digitalen Werte: Daten, Software, Kommunikationsnetze und die gesamte Informationstechnologie. Außerdem fällt darunter der Schutz vor digitalen Angriffen, die ebenfalls reale Schäden bewirken können (etwa durch Produktionsstillstand oder Datenverlust).

6.1 Schutzziele der Informationssicherheit

Die klassischen Schutzziele der Informationssicherheit sind weithin bekannt und werden auch in Normen wie ISO/IEC 27001 definiert: Vertraulichkeit, Integrität, Verfügbarkeit.

• Vertraulichkeit: Informationen sind nur für befugte Personen zugänglich. Unbefugter Zugriff bzw. unautorisierte Preisgabe von Daten muss verhindert werden.

• Integrität: Informationen (und Systeme) sind korrekt und unversehrt. Keine unautorisierte oder unbemerkte Veränderung von Daten.

• Verfügbarkeit: Die Systeme und Daten sind bei Bedarf verfügbar und funktionieren zuverlässig. Keine Ausfälle, die den Geschäftsbetrieb beeinträchtigen, oder zumindest minimierte Ausfallzeiten.

Erweiterte Schutzziele, die in der IT oft genannt werden, sind Authentizität (Echtheit von Kommunikationspartnern und Datenquellen) und Verbindlichkeit/Zurechenbarkeit (Nachweisbarkeit von Aktionen, z.B. dass ein abgegebener Auftrag nicht abgestritten werden kann). Im Kontext Unternehmenssicherheit kommen noch Datenschutz-Spezifika hinzu, wenn es um personenbezogene Informationen geht (Vertraulichkeit hat dort rechtlichen Rahmen wie DSGVO, aber hier behandeln wir es technisch).

Für ein Unternehmen bedeutet das, Schutzziele zu konkretisieren: z.B. "Kundendaten bleiben vertraulich, es darf keinen unbefugten Zugriff geben" – was den Maßstab setzt für Verschlüsselung, Zugriffsrechte, etc. Oder "Kerngeschäftsprozesse sind hochverfügbar (z.B. 99,9% Uptime)", sodass IT-Ausfälle minimiert werden müssen mit Redundanzen.

• Geschäftsspezifische Ziele: Manchmal werden branchenspezifisch weitere Schutzziele formuliert, etwa in der Finanzbranche "Transaktionssicherheit" (keine Manipulation von Buchungen, lückenlose Nachvollziehbarkeit) oder in der Produktion "Safety-IT-Integration" (eine IT-Störung darf nicht Menschen gefährden).

• Ein spezielles Ziel ist oft auch Früherkennung von Cyberangriffen: Hier formuliert man z.B. "Erkennung von IT-Angriffen innerhalb von X Minuten/Stunden", was aus dem neuen IT-Sicherheitsgesetz resultiert (Pflicht zum Einsatz von Angriffserkennungssystemen). So ein Ziel würde man an KPI wie Mean Time to Detect (MTTD) messen.

• Malware (Viren, Würmer, Trojaner, Ransomware): Schadprogramme, die Systeme infizieren, Daten stehlen oder verschlüsseln. Besonders Ransomware ist in den letzten Jahren für Unternehmen fatal (Daten werden verschlüsselt, Erpressungsgeld wird gefordert; Betriebsabläufe liegen oft tagelang lahm).

• Hackerangriffe: Gezieltes Eindringen in Netzwerke durch Ausnutzen von Sicherheitslücken oder gestohlenen Zugangsdaten. Angreifer können Daten abziehen (Datenlecks, z.B. Kundendaten exfiltriert) oder Manipulationen vornehmen.

• Insider: Mitarbeiter mit böser Absicht oder fahrlässigem Verhalten. Z.B. absichtliches Abziehen von Daten vor Ausscheiden (Datenklau), oder unvorsichtiges Handeln (Phishing-E-Mail angeklickt, unsicheres Passwort), was zum Einfallstor wird.

• Denial-of-Service: Überlastung von Online-Diensten durch gezielte Traffic-Fluten, um die Verfügbarkeit zu stören (teils Erpressungshintergrund).

• Social Engineering: Angriffe auf die "menschliche Firewall" – z.B. Telefonbetrug (Fake-IT-Helpdesk-Anrufe, um Passwörter zu erschleichen), CEO-Fraud (Mitarbeiter wird per Mail getäuscht, ein Chef fordert Überweisung), Phishing-E-Mails, die auf gefälschte Webseiten locken.

• APT (Advanced Persistent Threat): Hochentwickelte, oft staatlich unterstützte Hackergruppen, die langfristig ein Unternehmen ausspionieren wollen. Sie kombinieren alle Methoden und sind schwer zu entdecken.

Diese Palette an Bedrohungen macht deutlich, dass IT-Sicherheit mehrere Ebenen braucht, analog zum physischen Schichtenmodell, aber hier auf Netzwerk-, System- und Applikationsebene.

Zur Erfüllung der Schutzziele werden in der IT eine Fülle von Maßnahmen ergriffen, was in Summe ein Information Security Management System (ISMS) ausmacht (in Anlehnung an ISO 27001). Hier ein strukturiertes Bild wichtiger Sicherheitskontrollen

• Netzwerksicherheit: Firewalls an den Perimetern, Netzwerksegmentierung (Trennung von Produktionsnetz, Büronetz, Extranet etc.), Intrusion Detection/Prevention Systeme (IDS/IPS) die unerlaubte Aktivitäten erkennen, Virtual Private Networks (VPN) für sichere Remote-Zugriffe.

• System-/Endpoint-Sicherheit: Virenschutz/Endpoint Detection and Response (EDR) auf PCs und Servern, regelmäßige Sicherheitsupdates (Patch Management) um bekannte Schwachstellen zu schließen, Festplattenverschlüsselung (vor allem Laptops, um bei Diebstahl Daten zu schützen).

• Authentisierung und Zugangsverwaltung: Starke Passwortrichtlinien, wo möglich Zwei-Faktor-Authentifizierung für sensible Zugänge (z.B. Code aufs Handy zusätzlich zum Passwort), zentralisierte Rechteverwaltung (wer darf auf welche Datei, Role-Based Access Control).

• Verschlüsselung: von Daten in Ruhe (z.B. Datenbanken verschlüsseln) und Daten in Transit (SSL für alle Verbindungen). Insbesondere sensible Daten wie Personaldaten, Finanzdaten etc. immer verschlüsselt ablegen, damit selbst im Leakfall Vertraulichkeit gewahrt bleibt.

• Datensicherung (Backup): Um Verfügbarkeit und Integrität abzusichern, regelmäßige Backups offline vorhalten, sodass bei Ransomware-Befall die Daten wiederherstellbar sind. Das Schutzziel hier: keine dauerhaften Datenverluste.

• Monitoring und Logging: Alle kritischen Systeme loggen sicherheitsrelevante Ereignisse (Logins, Fehlversuche, Änderungen) und diese Logs werden ausgewertet (Security Information and Event Management, SIEM). So können Anomalien entdeckt werden.

• Physische IT-Sicherheit: Zugangsbegrenzung zu Serverräumen (schon in Kapitel 5 angerissen), Kamera in Serverraum, Klima/Feuerschutz wie Novec-Löschanlagen

• Sicherheitsrichtlinien und Prozesse: Dokumente, die den Umgang mit IT definieren – z.B. Acceptable Use Policy (Nutzung von Internet, Email), Passwortpolicy, Richtlinie für Incident Response (Was tun, wenn ein Sicherheitsvorfall auftritt?).

• IT-Notfallkonzept: Notfallpläne, wie IT-Services bei Ausfall wiederhergestellt werden (Disaster Recovery). Dies überschneidet mit Business Continuity (Kapitel 7).

• Change Management: Kontrollierte Änderungen an IT-Systemen, damit z.B. Konfigurationen nicht unsicher verändert werden.

• Zugriffs- und Berechtigungsmanagement: Prozedere, wie neue Mitarbeiter Accounts bekommen, wie Rechte nur nach Need-to-know vergeben werden, und wie sie entzogen werden, wenn jemand das Unternehmen verlässt (schließt Insider-Risiken).

• Lieferantenmanagement: Wenn IT-Dienstleister oder Cloud-Provider eingebunden sind, vertraglich Sicherheitsanforderungen festlegen (z.B. SLA für Verfügbarkeit, Audit-Rechte, Meldung von Sicherheitsvorfällen).

• Compliance und Audit: Regelmäßige Überprüfungen der IT-Sicherheit durch interne Revision oder externe Auditoren. In manchen Branchen sind jährliche Audits Pflicht.

• Security Awareness Trainings: Mitarbeiter sind oft das schwächste Glied (z.B. klicken auf Phishing). Daher regelmäßig Schulungen, Phishing-Testkampagnen, Sensibilisierung für Social Engineering. Ziel: Sicherheitsbewusstsein stärken.

• Klare Verantwortlichkeiten: Etablierung von Rollen wie CISO, IT-Sicherheitsbeauftragter, Admins mit genau definierten Pflichten. Wenn jeder weiß, wer wofür zuständig ist, sinkt das Risiko, dass etwas liegen bleibt.

• Notfallübungen: Incident Response Team (kann aus IT, Security, PR, Management bestehen) probt Cybervorfälle (z.B. Simulation eines Datenlecks, um Reaktion zu verbessern).

• Integration ins Unternehmen: IT-Sicherheit ist nicht isoliert die Aufgabe der IT-Abteilung, sondern Teil der Unternehmenssicherheit. Überschneidungen gibt es z.B. bei Betrugsermittlungen (müssen oft IT-Geräte analysiert werden), bei Zutrittskontrolle (IT-Karten für Türen) oder Videoüberwachung (netzwerkbasierte Kameras – Cyber-Schutz nötig, damit nicht Hacker Kamera-Streams abgreifen). Daher werden Schutzziele der IT oft in Gesamtsicherheitskonzepten mit erwähnt. Etwa die SOW GmbH sagt: "Ein strukturiertes Sicherheitskonzept tangiert jeglichen Bereich, in dem Sicherheit eine Rolle spielt – von A wie Arbeitssicherheit über Cyber Security und Security Awareness der Mitarbeiter bis Z wie Zutrittskontrollen". Cyber Security ist somit integraler Bestandteil.

• Normativer Rahmen: Ohne ins Detail zu gehen, sei gesagt, dass viele normative Dokumente implizit Schutzziele vorgeben. Z.B. das BSI-Grundschutz Kompendium listet Anforderungen, die letztlich Ziele wie "Schutz vor Schadsoftware", "Schutz vor Netzwerkausfall" darstellen. Unternehmen, die unter KRITIS fallen, müssen Stand der Technik umsetzen, was u.a. bedeutet: aktuelle Firewalls, Angriffserkennung etc. Ein wirksames ISMS wird oft zertifiziert, was dem Unternehmen auch extern bescheinigt, dass es die Schutzziele erfüllt (oder zumindest die Prozesse hat, sie zu erfüllen).

• Die Angriffsmethoden entwickeln sich rasant (Zero-Day-Exploits, neue Phishing-Tricks, KI-gestützte Angriffe), also müssen auch die Schutzmaßnahmen adaptiv sein.

• Unternehmen digitalisieren immer mehr Prozesse (Stichwort IoT: Internet of Things in Fabriken, Smart Building im Facility Bereich). Das heißt, noch mehr Geräte und Sensoren hängen am Netz – Angriffsfläche wächst. Schutzziel könnte hier sein: "Sicherheit von IoT-Geräten gewährleisten", was eine neue Herausforderung ist, da viele IoT-Geräte nicht für Security gebaut wurden.

• Cloud-Migration: Daten und Dienste wandern in die Cloud. Die Verantwortung teilt sich dann zwischen Cloud-Anbieter und Firma (Shared Responsibility). Man definiert daher Schutzziele wie "Daten in der Cloud sind ebenso vertraulich wie on-premise", was extra Maßnahmen (Verschlüsselung, Cloud-Access Security Broker etc.) bedingt.

• Datenschutz: Die Vermischung mit Privacy erfordert, dass Security-Teams auch Datenschutz im Blick haben. "Angemessenes Schutzniveau nach Risiko" der DSGVO ist quasi ein Auftrag zur Schutzzieldefinition pro Kategorie personenbezogener Daten.

• Fachkräftemangel: Cybersecurity-Spezialisten sind rar und teuer. Ein Schutzziel kann noch so gut definiert sein – ohne Personal, das es umsetzt, bleibt es Theorie. Unternehmen begegnen dem, indem sie verstärkt auf Security Outsourcing (Managed Security Services) setzen, aber das bringt wieder Abhängigkeiten.

• Anzahl der entdeckten/vereitelten Angriffe vs. erfolgreiche Sicherheitsvorfälle (man will letztere minimieren).

• Durchschnittliche Zeit bis zur Schließung einer kritischen Sicherheitslücke (Patch-Management-Effizienz).

• Anteil der Mitarbeiter, die Phishingtest bestehen (Awareness-Effekt).

• Systemverfügbarkeiten im Soll (z.B. >99% für kritische Services erreicht?).

Viele große Konzerne berichten Cyberrisiken als Top-Risiko in ihrem Risikobericht. Das hat dazu geführt, dass Schutzziele in diesem Bereich sehr hohe Priorität bekommen haben, teils sogar über klassischen physischen Sicherheitszielen, da die potenziellen Schäden (Datenverlust, Reputationsschaden, regulatorische Strafen) immens sein können. Der Trend geht zur integrierten Sicherheitssteuerung, in der IT-Security und Corporate Security Hand in Hand arbeiten, um ein ganzheitliches Lagebild zu bekommen – schließlich können Cyberangriffe physische Komponenten haben (z.B. das Hacken einer Zugangskontrolle) und umgekehrt (Einbrecher stehlen einen Server mit Daten). Ein umfassendes Sicherheitskonzept berücksichtigt beide Welten und stellt sicher, dass die Schutzziele nicht in Silos gedacht werden.

Neben den bisher behandelten Bereichen – Schutz von Personen, Sachwerten und Informationen – gibt es Querschnittsaufgaben, die für die Wirksamkeit der Unternehmenssicherheit unerlässlich sind. Unter organisatorischer Sicherheit soll hier all das verstanden werden, was mit Aufbau- und Ablauforganisation, Kultur und Prozessen im Unternehmen zu tun hat, um Sicherheit zu gewährleisten. Zudem wird in diesem Kapitel das Notfall- und Krisenmanagement betrachtet, dessen Schutzziel im Wesentlichen die Aufrechterhaltung der Geschäftsabläufe ist, auch unter widrigen Umständen.

Beide Aspekte – Organisation und Krisenmanagement – verbinden die Einzelelemente der Sicherheit zu einem funktionierenden System. Man könnte sagen: Sie bilden das Rückgrat bzw. den Rahmen, in dem die physischen, technischen Maßnahmen erst richtig greifen.

• Sicherheitsorganisation etablieren: Ziel, eine klare Verantwortungsstruktur zu haben (z.B. Bestellung eines Sicherheitsbeauftragten, Einrichtung eines Security-Komitees), damit Sicherheitsaufgaben koordiniert wahrgenommen werden.

• Compliance mit Sicherheitsstandards: Das Unternehmen will alle relevanten Sicherheitsvorgaben (intern und extern) erfüllen. Implizit: keine Bußgelder, keine Haftungsfälle wegen Organisationsverschulden.

• Sensibilisierung und Sicherheitsbewusstsein: Ziel, dass alle Mitarbeiter Sicherheitsregeln einhalten und potentiell als "verlängerter Arm" der Security fungieren (Meldungen, Achtsamkeit).

• Kontinuität der Sicherheitsprozesse: z.B. regelmäßige Überarbeitung von Risikoanalysen, ständige Verbesserung. Kein Einschlafen der Sicherheitsinitiativen.

• Schutz vor menschlichem Versagen: Da organisatorische Maßnahmen oft menschliche Durchführung erfordern, ist ein Ziel, Fehlerquellen zu minimieren (z.B. Rotation bei Überwachung, Vier-Augen-Prinzip, damit nicht eine Person alleine kritische Fehler machen kann).

• Aufbauorganisation: Es wird definiert, welche Abteilungen es gibt (Werkschutz, IT-Security, Arbeitssicherheit, ggf. alle unter einem Chief Security Officer/CSO). Zudem ggf. ein Security Steering Committee mit Mitgliedern aus wichtigen Bereichen, das quartalsweise tagt und Sicherheitsfragen besprecht. In manchen Unternehmen, mangels Kapazität, wird kein dedizierter Security-Bereich aufgebaut – was problematisch sein kann. Die Forschung hat festgestellt, dass in der Mehrzahl deutscher Unternehmen keine qualifizierten Sicherheitsexperten angestellt sind, was zu Lücken führt. Ein Schutzziel wäre also, Security-Kompetenz im Unternehmen sicherzustellen, z.B. durch Einstellung oder Weiterbildung.

• Prozesse und Richtlinien: Wir haben schon einige Policies erwähnt. Organisatorische Sicherheit heißt, diese im Alltag zu verankern. Das passiert, indem sie in alle relevanten Geschäftsprozesse integriert werden. Zum Beispiel: im HR-Prozess (Onboarding/Offboarding) sind zwingend Sicherheitschecks (Ausweis erstellen, Sicherheitsunterweisung am ersten Tag; beim Offboarding Ausweis/Schlüssel zurück, Berechtigungen entziehen). Oder im Einkaufsprozess wird bei Beschaffung von sicherheitsrelevanten Dingen (IT-Systeme, Schließanlagen) die Security-Abteilung zur Abnahme eingebunden. So zieht sich Sicherheit wie ein roter Faden durchs Unternehmen.

• Dokumentation und Berichtswesen: Organisatorische Sicherheit bedingt gutes Dokumentationswesen. Sicherheitsvorfälle sollten erfasst werden, Maßnahmenprotokolle vorhanden sein, Wartungspläne der Sicherheitstechnik dokumentiert, etc. Außerdem Berichte ans Management (etwa jährlicher Sicherheitsbericht: was wurde erreicht, welche Risiken neu, was geplant). Damit zeigt man, dass das Thema gelebt wird.

• Fehlerkultur: Da menschliche Fehler nie ganz vermeidbar sind, sollte eine Kultur herrschen, in der sicherheitsrelevante Beinahe-Fehler gemeldet werden können ohne Angst (wie man es aus Arbeitsschutz kennt). Etwa wenn jemand merkt, versehentlich eine Phishing-Mail geöffnet zu haben, soll er sich sofort melden statt es zu vertuschen. Das erfordert Vertrauen und Schulung.

• Audit- und Kontrollmechanismen: Intern werden z.B. Szenarien getestet: gehen Mitarbeiter nach Policy vor? Einfache Tests (lässt mich jemand ohne Ausweis rein?; wird der USB-Stick auf dem Parkplatz gefunden und in den PC gesteckt? etc.). Solche internen Audits helfen, Schwachstellen im organisatorischen Bereich aufzudecken. Wie Kreidler schreibt: die organisatorische Sicherheit steht und fällt mit der Umsetzung in der Realität, und der Faktor Mensch ist hier die kritische Fehlerquelle. Sprich: man muss immer darauf achten, dass die besten Regeln nichts nützen, wenn Menschen sie umgehen oder ignorieren.

• Einführung eines Sicherheitsausschusses: z.B. Vertreter aus Facility, IT, HR, Produktion, Recht, unter Leitung des Sicherheitschefs, treffen sich regelmäßig.

• Notfallkontakte-Liste: Für jeden Standort gibt es eine Liste "Wer ist 24/7 erreichbarer Entscheider bei Sicherheitsvorfall?" – aktualisiert quartalsweise.

• Sicherheitsbewusstsein-Kampagnen: Monatliches Security-Newsletter, Plakate ("Think Security"), E-Learning-Module. So bleibt das Thema präsent.

• Organisationspflichten erfüllen: Schulungen und Pflichten (z.B. jeder neue Mitarbeiter MUSS innerhalb 4 Wochen an einer Safety & Security Unterweisung teilnehmen – und HR trackt das).

• Zulieferer Governance: z.B. Dienstleister wie Reinigungsfirma – deren Mitarbeiter kommen ins Gebäude. Organisatorische Sicherheit heißt hier, dass in den Verträgen steht: alle deren Mitarbeiter sind überprüft (Polizeiliches Führungszeugnis), tragen Ausweise, werden belehrt etc. Und das FM kontrolliert auch stichprobenhaft.

Die Integration mit Qualitäts- und Umweltmanagement ist auch oft Thema – viele Unternehmen fassen Managementsysteme zusammen. Ein ISMS kann Teil eines integrierten Managementsystems sein, ebenso Arbeitssicherheit (ISO 45001). Hierdurch vereinheitlicht man organisatorische Prozesse (z.B. Dokumentenlenkung, kontinuierlicher Verbesserungsprozess). Für die Schutzziele bedeutet das: Konsistenz und systematische Abarbeitung.

• Schutzziel: Das zentrale Schutzziel des Notfall- und Krisenmanagements ist die Aufrechterhaltung bzw. rasche Wiederherstellung des Geschäftsbetriebs bei gravierenden Störungen. Auf Englisch spricht man vom desired level of resilience. Im Deutschen könnte man sagen: "Sicherung der Betriebsabläufe und Überlebensfähigkeit des Unternehmens unter Krisenbedingungen". Teilziele sind: Schäden minimieren, Ausfallzeiten minimieren, geordnete Reaktion statt Chaos.

• Abgrenzung: Notfallmanagement bezieht sich oft auf operative Störungen (IT-Ausfall, Maschinenbrand etc. – man hat Notfallpläne, die direkt vor Ort greifen). Krisenmanagement bezieht sich auf strategische Krisen (Rufschädigung, Managementkrise, rechtliche Krise) und die Koordination auf oberster Ebene, inkl. Kommunikation (Pressestelle etc.). Hier im Sicherheitskontext ist beides relevant, v.a. bei sicherheitsrelevanten Vorfällen: z.B. ein schwerer Sabotageakt oder Cyberangriff führt zur Krise, die gesteuert werden muss

• Business Impact Analyse (BIA): Im Vorfeld wird analysiert, welche Prozesse wie kritisch sind (was ähnlich wie Schutzbedarf ist). Daraus werden Wiederanlaufziele definiert: z.B. Recovery Time Objective (RTO) – innerhalb welcher Zeit muss Prozess X wieder laufen? und Recovery Point Objective (RPO) – wie viel Datenverlust ist tolerierbar? Diese Ziele sind im Grunde Schutzziele: Sie legen das akzeptierte Maß einer Störung fest.

• Notfallpläne: Für verschiedene Szenarien gibt es Pläne. Z.B. IT-Notfallplan (Server down – was tun? Backup aktivieren?), Evakuierungsplan bei Feuer, Notfallplan bei Stromausfall, Pandemieplan etc. Jeder Plan hat Verantwortliche, Checklisten, Eskalationsstufen.

• Krisenteam: Das Unternehmen hat ein Krisenstab-Konzept. Es gibt einen definierten Raum (Krisenstabsraum), Kommunikationsmittel (Hotlines, Krisenhandys). Teammitglieder aus allen relevanten Bereichen: Security, Facility, IT, PR, Recht, Geschäftsführung. Sie werden geschult in Krisenmanagement-Methodik (Lagebild erstellen, Optionen erarbeiten, Entscheidungen dokumentieren).

• Übungen: Regelmäßige Krisenstab-Übungen (z.B. einmal jährlich eine Simulation). Das Ziel: Team ist handlungsfähig, kennt seine Rollen. Dadurch verkürzt sich im Ernstfall die Reaktionszeit. Behörden empfehlen sowas auch – z.B. im Kritikalitätssektor sind solche Übungen vorgeschrieben.

• Konkret: Wenn z.B. ein Brand Teile der Produktion zerstört (physischer Vorfall), greift Notfallmanagement (Feuerwehr rufen, Evakuieren, Erstmaßnahmen wie Notstrom einschalten), und Krisenmanagement (Wie informieren wir Kunden? Gibt es Ausweichproduktion? Wie lange können wir nicht liefern?). Oder bei einem Cyberangriff (Malware befällt das Firmennetz): Notfallmanagement (IT zieht Stecker, trennt Netz, startet Notfallsysteme vom Backup), Krisenmanagement (Entscheidung: zahlen wir Lösegeld? Informieren wir Behörden? Pressemitteilung?).

• Ziele & Kennzahlen: Hier ist es etwas einfacher, Schutzziele messbar zu haben: Man kann sagen "Maximale Ausfallzeit kritischer Prozess X = 4 Stunden" (das ist das Schutzziel), "Maximaler Datenverlust = 0 (keine Daten gehen verloren durch Backup)", "Im Notfall sind innerhalb 30 Min alle relevanten Personen informiert". Solche Ziele müssen vorher festgelegt werden, damit in der Krise Klarheit herrscht. Wenn das Ziel ist, 4 Stunden wieder da zu sein, müssen entsprechende Redundanzen und Ressourcen vorgehalten werden, was teuer sein kann. Das muss das Management abwägen.

• Versorgung von Mitarbeitern in der Krise: Ein Aspekt, der zu Personenschutz zurückführt: in Krisen (z.B. Naturkatastrophe am Standort) müssen die Mitarbeiter versorgt werden (Unterkunft, Krisenpsychologie). Also Notfallpläne beinhalten auch Sammelplätze, Listen wer anwesend war etc. (Stichwort Evakuierungsübung aus Gebäude - Safety-Regel, aber integraler Teil der Krisenplanung).

• Rechtliche Aspekte: Der deutsche KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) schreibt für Aktiengesellschaften ein Risikomanagement-System vor, das bestandsgefährdende Risiken früh erkennen soll. Ein funktionierendes BCM wird als Maßnahme gesehen, solchen Risiken vorzubeugen oder zu bewältigen. Das heißt zwar nicht, dass jeder AG ein BCM haben muss, aber es wird stark impliziert. Außerdem fordern Branchenregeln (z.B. Bafin für Banken, B3S für Krankenhäuser etc.) explizit Notfallvorsorge. Somit ist das Schutzziel "Fortbestand sichern" auch regulatorisch unterlegt.

• Schnittstelle zum Facility Management: Facility Manager sind oft für Notfallinfrastruktur zuständig: z.B. Notstromaggregate, Feuerwehrzufahrten, Alarmierungssystem (Sirenen im Gebäude), usw. Auch bei Evakuierungen oder Standortschließungen (z.B. Bombendrohung – FM macht das Gebäude zu) spielen sie Schlüsselrollen. Daher muss das Krisenmanagement eng mit FM abgestimmt sein. Häufig ist der FM-Leiter Mitglied im lokalen Krisenteam. Zudem pflegt FM die Kontakte zu Rettungsdiensten, Feuerwehr, Polizei am Standort – sehr wichtig im Ernstfall.

• Kommunikation in der Krise: Nicht zu vergessen, ein Krisenstab muss auch die Information nach innen und außen steuern. Das ist Teil des Reputationsschutzes. Hier definieren Unternehmen z.B.: "Innerhalb 1 Stunde nach Ereignis muss eine Erstinformation an Mitarbeiter raus" oder "Pressesprecher allein spricht extern". Das sind weiche Ziele, aber essentiell, um Chaos zu vermeiden.

Organisatorische Sicherheit und Krisenmanagement rahmen die vorhergehenden Kapitel ein. Die Gesamtstrategie der Unternehmenssicherheit beinhaltet, all diese Elemente zu einem schlüssigen Konzept zu verweben (Stichwort Ganzheitliche Sicherheit). Schutzziele müssen daher nicht isoliert pro Bereich definiert sein, sondern zueinander konsistent und auf das Unternehmensziel abgestimmt. Wenn z.B. ein Unternehmen sich als sehr innovativ positioniert, wird "Schutz von Know-how" vielleicht das Hauptschutzziel, und man ordnet dem vieles unter. Ein anderes Unternehmen in einer gefährlichen Branche priorisiert "Personenschutz".

Eine strategische Vorgehensweise ist die Entwicklung einer Sicherheitsstrategie, die aus der Unternehmensstrategie abgeleitet wird. Diese Strategie formuliert die übergreifende Zielsetzung (z.B. "Sicherheitsführerschaft im Markt erreichen", "Sicherheitsniveau jährlich verbessern", "Null-Schaden-Philosophie") und richtet Ressourcen und Initiativen daran aus. Darunter ordnen sich die jeweiligen Bereichs-Schutzziele ein.

Durch regelmäßiges Reporting an die Leitung und Reviews bleibt das System lebendig. Wie Kraiss et al. feststellten: Präventive und reaktive Sicherheitsmaßnahmen haben strategische Bedeutung und sind unabdingbar. Das heißt, das Management betrachtet Sicherheit als Teil der Wertschöpfung (nicht nur Kostenfaktor). Diese Erkenntnis setzt sich mehr und mehr durch, insbesondere wenn hohe Schäden durch Nichtstun publik werden.