Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Unternehmenssicherheitsmanagement: Abstraktion

Facility Management: Security » Sicherheit » Strategien » Abstraktion

Unternehmenssicherheitsmanagement: Abstraktion

Unternehmenssicherheitsmanagement: Abstraktion

Sicherheitsmanagement wird allgemein definiert als das Führen, Lenken und Koordinieren einer Organisation in Bezug auf alle Sicherheitsaktivitäten. Es handelt sich um einen systematischen, ganzheitlichen Managementansatz, der – analog zum Risikomanagement – alle Maßnahmen zur Erkennung, Analyse, Bewertung und Kontrolle von Sicherheitsrisiken umfasst. Im betrieblichen Kontext spricht man oft von Unternehmenssicherheit, die sowohl den Schutz von Personen und physischen Vermögenswerten als auch die Informationssicherheit und die Einhaltung rechtlicher Vorgaben einschließt.

Der Begriff Abstraktion im Sicherheitsmanagement beschreibt die Vereinfachung und Strukturierung komplexer Sachverhalte durch Bildung verschiedener Ebenen oder Sichten. Dieses Abstraktionsprinzip ermöglicht es, Sicherheitsstrategien von der höchsten Leitungsebene bis zur operativen Ausführung konsistent abzuleiten. Anstatt Sicherheitsfragen nur eindimensional oder einzelfallbezogen zu betrachten, werden Abstraktionsebenen eingezogen, die es erlauben, generelle Leitlinien und Ziele (auf hoher Abstraktion) von konkreten Maßnahmen und Zuständigkeiten (auf niedrigerer Abstraktion) zu unterscheiden. So können etwa allgemeine Sicherheitsgrundsätze und Policy-Vorgaben der Unternehmensführung auf der strategischen Ebene formuliert werden, die dann in Form von Richtlinien und Prozessen auf der mittleren Managementebene konkretisiert und schließlich durch technische, bauliche und organisatorische Maßnahmen auf operativer Ebene umgesetzt werden. Dieses mehrschichtige Vorgehen verhindert, dass man sich in Details verliert, und stellt sicher, dass alle operativen Sicherheitsmaßnahmen aus den übergeordneten Zielen abgeleitet und mit diesen kohärent sind.

Abstraktion bedeutet dabei nicht, wichtige Details zu vernachlässigen, sondern sie in sinnvolle Kategorien und Ebenen einzuordnen. Theoretisch lässt sich dies mit Managementmodellen vergleichen, die zwischen strategischem, taktischem und operativem Management unterscheiden. Übertragen auf das Sicherheitsmanagement ergibt sich eine Hierarchie von Zielen und Mitteln: Strategische Sicherheitsziele leiten sich aus der Unternehmensstrategie und -werten ab, taktische Sicherheitskonzepte übersetzen diese Ziele in handhabbare Pläne und Programme, und operative Sicherheitsmaßnahmen stellen die Durchführung im Alltag sicher. Die wichtigen Unterschiede zwischen diesen Ebenen liegen im Abstraktionsgrad, der Änderungshäufigkeit und der Zielgruppe: Strategische Vorgaben sind allgemein gehalten, langfristig orientiert und an die Geschäftsleitung adressiert; taktische Pläne sind detaillierter, mittelfristig und richten sich an das Management; operative Anweisungen schließlich sind sehr konkret, kurzfristig anwendbar und für die Ausführenden im Tagesgeschäft gedacht.

Abstraktionsebenen der Sicherheitsstrategie: Governance, Taktik und Operation

Ein zentrales Element des Abstraktionsansatzes im Unternehmenssicherheitsmanagement ist die Abbildung der Sicherheitsstrategie auf verschiedenen Ebenen. Dies stellt sicher, dass strategische Sicherheitsziele in konkrete Maßnahmen münden und umgekehrt operative Erkenntnisse zurück an die Führungsspitze gespiegelt werden.

Üblicherweise unterscheidet man drei Abstraktionsebenen mit unterschiedlichen Schwerpunkten:

  • Strategische Ebene (Governance): Auf höchster Abstraktionsebene werden die Leitplanken des Sicherheitsmanagements festgelegt. Die Unternehmensführung definiert eine Sicherheitspolitik bzw. ein Sicherheitsleitbild, das sich an den Geschäftszielen und dem Risikoprofil des Unternehmens orientiert. Hier werden grundlegende Sicherheitsziele, Verantwortlichkeiten und Ressourcenallokationen beschlossen. Die strategische Ebene umfasst auch die Einbettung in Governance-Strukturen – etwa die Verankerung des Themas in Vorstandsgremien oder die Einrichtung eines Sicherheitslenkungskreises. Ziel ist es, einen Rahmen zu schaffen, in dem Sicherheit als Wert des Unternehmens verankert ist und Compliance mit Gesetzen sowie relevanten Normen gewährleistet wird. Entscheidungen auf dieser Ebene haben meist langfristigen Charakter und adressieren die Gesamtorganisation.

  • Taktische Ebene (Management): Auf der mittleren Ebene wird die Strategie in Pläne und Prozesse übersetzt. Abteilungs- oder bereichsübergreifende Sicherheitskonzepte und Richtlinien entstehen, welche die strategischen Vorgaben konkretisieren. Beispielsweise werden auf taktischer Ebene Sicherheitsrichtlinien und -prozesse entwickelt und dokumentiert (etwa Richtlinien zur Zutrittskontrolle, IT-Nutzungsordnungen, Notfall- und Alarmierungspläne). Es werden Risikobewertungen durchgeführt und priorisiert, Schulungsprogramme für Mitarbeiter aufgelegt und Zuständigkeiten für Teilbereiche (Objektschutz, IT-Sicherheit, Datenschutz etc.) festgelegt. Die taktische Ebene hat mittelfristigen Zeithorizont und verbindet die strategischen Ziele mit der operativen Umsetzung. Hier wird auch das Schnittstellenmanagement zwischen verschiedenen Bereichen koordiniert – z. B. wie die IT-Abteilung mit der Gebäudesicherheit zusammenarbeitet oder wie Sicherheitsvorfälle eskaliert und ausgewertet werden. Taktische Maßnahmen werden häufig von Sicherheitsmanagern oder einem Sicherheitskomitee verantwortet.

  • Operative Ebene (Operation): Auf niedrigster Abstraktionsebene erfolgt die konkrete Umsetzung der Sicherheitsmaßnahmen im Tagesgeschäft. Mitarbeiter im Werkschutz, in der Leitstelle, im IT-Betrieb oder im technischen Gebäudemanagement führen hier definierte Prozeduren aus. Typische operative Maßnahmen sind etwa die Kontrolle von Zutrittsberechtigungen am Empfang, die Überwachung von CCTV-Videoanlagen, das Durchführen von Sicherheitsrundgängen, die technische Wartung von Alarmanlagen, das Einspielen von IT-Sicherheitspatches oder das Testen von Notstromaggregaten. Auch das Verhalten in Krisensituationen (z. B. Evakuierungsübungen, Incident Response bei Cyberangriffen) gehört zur operativen Ebene. Die Wirksamkeit dieser Maßnahmen wird durch regelmäßige Kontrollen und Audits überprüft. Änderungen auf operativer Ebene treten häufig ad-hoc oder kurzfristig auf (z. B. verschärfte Zugangskontrollen bei akuter Bedrohungslage) und richten sich direkt an die ausführenden Personen und Teams.

Die folgende Tabelle fasst die drei Ebenen zusammen und gibt Beispiele, wie Sicherheitsstrategien jeweils abgebildet werden:

Abstraktionsebene

Fokus und Aufgaben

Beispiele für Maßnahmen

Strategisch (Governance)

Unternehmensführung: Festlegung der Sicherheitsstrategie, grundlegende Ziele und Verantwortlichkeiten. Integration in Corporate Governance, Bereitstellung von Ressourcen, Compliance und Risikobereitschaft bestimmen.

Verabschiedung einer Sicherheitsleitlinie durch die Geschäftsführung
Einrichtung eines Security Steering Committees auf Vorstandsebene
Festlegen von Unternehmensweiten Schutzzielen (z. B. „Schutz von Kundendaten hat oberste Priorität“) und Risikotoleranzen
Entscheidung zur Einführung eines ISMS nach ISO/IEC 27001

Taktisch (Management)

Fach- und Führungskräfte: Entwicklung von Richtlinien, Prozessen und Programmen zur Umsetzung der Strategie. Koordination zwischen Abteilungen, Durchführung von Risikoanalysen, Planung von Sicherheitsprojekten und Schulungen.

Erstellung von Sicherheitsrichtlinien (z. B. Zutrittskontroll- und Berechtigungskonzept, IT-Sicherheitsrichtlinie)
Durchführung regelmäßiger Risikobewertungen und Ableitung eines Maßnahmenkatalogs
Implementierung eines Notfall- und Business-Continuity-Konzepts (z. B. gemäß ISO 22301)
Planung von Mitarbeiterschulungen zu Sicherheitsbewusstsein (Security Awareness)

Operativ (Operation)

Operative Teams: Konkrete Umsetzung der Sicherheitsmaßnahmen im Alltag nach definierten Vorgaben. Überwachung, Wartung, Einsatz von Sicherheitstechnologien und Reaktion auf Vorfälle.

Kontrolle von Ausweisen und Zugangscodes beim Betreten von Gebäuden
Überwachen von Alarmanlagen und Videoüberwachungssystemen in der Leitstelle
Technische Wartung der Sicherheitssysteme (Schließanlagen, Brandmelder, IT-Netzwerk-Monitoring)
Durchführung von Evakuierungsübungen und Incident-Response-Maßnahmen bei Sicherheitsvorfällen

Die Vertikalintegration über diese Ebenen hinweg ist entscheidend: Strategische Entscheidungen müssen durch angemessene taktische Pläne unterstützt werden, und diese wiederum münden in durchführbare operative Handlungen. Gleichzeitig liefern Erfahrungen und Kennzahlen aus der operativen Ebene (z. B. Anzahl der Sicherheitsvorfälle, Audit-Ergebnisse) wichtige Rückmeldungen an das Management und die Unternehmensführung, um die Strategie laufend zu verbessern (Managementregelkreis). Durch diese Abstraktion und Kaskadierung wird ein konsistentes Sicherheitsmanagement-System geschaffen, das flexibel auf Veränderungen reagieren kann, ohne die Ausrichtung an den Gesamtzielen zu verlieren.