Unternehmenssicherheitsmanagement: Nicht vertrauen

Eine Zero-Trust-Strategie im Facility Management erfordert ein fein abgestimmtes Zusammenspiel physischer und digitaler Sicherheitsmaßnahmen. Gebäude und technische Anlagen müssen heute als cyber-physische Systeme begriffen werden: Zutrittskontrolltechnik, Überwachungskameras, Alarmanlagen, Klima- und Gebäudesteuerungen etc. sind häufig IT-gestützt und vernetzt. Daher gilt es, klassische bauliche Schutzvorkehrungen und moderne IT-Sicherheitsarchitekturen zu verzahnen, um eine durchgängige Sicherheitszone zu schaffen, in der nichts und niemand unautorisiert bleibt.

Wichtige physische Schutzmaßnahmen umfassen etwa Perimeterschutz (Zäune, Sicherheitsschleusen, Vereinzelungsanlagen), gesicherte Zugänge (Zutrittskontrollsysteme mit Ausweisen, PIN-Codes oder Biometrie), Videoüberwachung (CCTV mit intelligenter Analytik) und mechanische oder elektronische Schließsysteme für Räume und Anlagen. Diese traditionellen FM-Instrumente werden im Zero-Trust-Konzept jedoch neu justiert: Der Fokus verlagert sich weg von einer bloßen Abschreckungsfunktion hin zu dynamischer Zugangskontrolle in Echtzeit. Beispielsweise kann ein modernes Zutrittssystem jedem Mitarbeiter nur den Zugang zu exakt den Bereichen gewähren, die für seine aktuelle Aufgabe nötig sind (Prinzip der minimalen Rechte). Bewegungen im Gebäude werden fortlaufend protokolliert und mit Soll-Profilen abgeglichen. Videoüberwachungssysteme lassen sich mit Zutrittsdaten koppeln, um Anomalien sofort zu erkennen – z. B. wenn eine Person ohne Berechtigung einen sensiblen Sektor betritt oder wenn Türen unplanmäßig offen stehen. Physische Sicherheitskontrollen werden also granularer und eng mit digitalen Regeln verknüpft, sodass kein „blinder Fleck“ durch vermeintlich vertrauenswürdige Innenbereiche entsteht.

Gleichzeitig müssen die digitalen Sicherheitsmaßnahmen in Gebäuden verstärkt werden. Viele Einrichtungen verfügen inzwischen über Gebäudeautomation, IoT-Sensoren und vernetzte Anlagensteuerungen (etwa für Klima, Energie oder Zugang). Solche Systeme – oft als Teil der Operational Technology (OT) bezeichnet – sind anfällig für Cyber-Angriffe, wie Beispiele von Hackerzugriffen auf Heizungs- oder Sicherheitssysteme zeigen. Zero Trust im FM bedeutet hier, jedes Gerät im Gebäudenetzwerk wie ein potenziell unsicheres externes Gerät zu behandeln. Konkret: Netzwerksegementierung wird konsequent umgesetzt, indem z. B. das Netzwerk der Überwachungskameras strikt vom Bürodaten-Netz getrennt ist, mit engen Kontrollpunkten (Policy Enforcement Points) zwischen den Segmenten. Authentifizierung und Compliance-Prüfung für Geräte gewinnen an Bedeutung – ein Gebäude-IoT-Gerät darf sich nur verbinden, wenn es zuvor als bekannt und aktuell sicher eingestuft wurde (ggf. mittels Zertifikat oder Gerätesignatur). Ein alltägliches Beispiel: Verbindet ein Mitarbeiter im Smart Office seine private Smartwatch mit dem Firmen-WLAN, würde ein traditionelles Modell dies möglicherweise stillschweigend zulassen, da das Gerät sich innerhalb des Büros befindet. Im Zero-Trust-Modell hingegen müsste sich auch die Smartwatch zunächst ausweisen, Richtlinien-Checks (z. B. auf aktuellen Patch-Stand) durchlaufen und würde danach fortlaufend auf verdächtiges Verhalten überwacht. Gleiches gilt für Smart Buildings: Eine internetfähige Türschlossanlage oder ein digitaler Besucherterminal werden in isolierten Netzbereichen betrieben und erlauben nur definierte Kommunikation, um zu verhindern, dass ein kompromittiertes Gerät als Einstiegstor ins gesamte Firmennetz dienen kann. Durch solche Mikro-Segmentierung und Gerätehärtung wird das Risiko lateraler Bewegungen eines Angreifers minimiert – selbst wenn eine Komponente fällt, bleibt der Schaden auf diesen „Segment-Container“ begrenzt.

Als Orientierung können anerkannte Leitlinien wie ISO 27001 dienen, die für physische Sicherheit drei Kernprinzipien nennen: Abschreckung, Detektion und Reaktion. Übertragen ins Zero-Trust-FM heißt das: Abschreckung entsteht durch sichtbare Kontrollen (Ausweisstationen, Kameras) und strikte Policies, die potenzielle Täter abhalten. Detektion wird durch engmaschiges Monitoring und Sensorik erreicht – jede Abweichung (sei es ein unautorisierter Zutrittsversuch oder ein ungewöhnlicher Netzwerktraffic in der Gebäude-IT) soll sofort auffallen. Und Reaktion bedeutet, dass definierte Prozesse und Gegenmaßnahmen bereitstehen, um erkannte Vorfälle unverzüglich einzudämmen (z. B. automatische Türverriegelung, Alarmierung des Sicherheitszentrums, Isolierung eines kompromittierten Geräts). Im Gegensatz zu herkömmlichen Konzepten, die oft reaktiv erst nach einer Sicherheitsverletzung greifen, zielt Zero Trust auf proaktive Prävention: Da man davon ausgeht, dass jederzeit etwas oder jemand unerlaubt im System sein könnte (Assume Breach-Ansatz), sind die Schutzmechanismen so ausgelegt, dass ein Angreifer gar nicht erst frei agieren kann, sondern ständig Gegenmaßnahmen angestoßen werden.

Zentralisierte Sicherheitsplattformen oder Integrationslösungen (PSIM – Physical Security Information Management) können Daten aus Zutrittskontrolle, Video, Alarmanlagen und IT-Systemen zusammenführen. So entsteht ein ganzheitliches Lagebild in Echtzeit. Eine einheitliche Plattform erleichtert es, Zero-Trust-Policies konsistent durchzusetzen – bspw. kann ein und dieselbe Identität (Digital Identity) genutzt werden, um sowohl IT-Zugriff als auch Türzutritt zu steuern, nach dem Motto: eine Identität = ein definierter Berechtigungsraum. Versucht ein Nutzer, physisch oder digital etwas außerhalb seines Berechtigungsprofils zu tun, greift die Überwachung sofort ein (Alarm oder automatischer Zugriffsstopp). Dieses Konvergenz-Vorgehen setzt enge Zusammenarbeit zwischen IT-Security und Facility Security voraus, was im nächsten Abschnitt zur Risikoprävention und -erkennung weiter vertieft wird.

Eine Kernaufgabe des Sicherheitsmanagements ist es, Risiken proaktiv zu verhindern und entstehende Gefahren frühzeitig zu erkennen. Unter dem Zero-Trust-Paradigma werden hierfür präventive Kontrollen und Detektionssysteme eng verzahnt. Risikoprävention bedeutet, potenzielle Angriffspfade von vornherein zu schließen oder so zu begrenzen, dass Schaden gar nicht erst entsteht. Risikodetektion bedeutet, jede ungewöhnliche Aktivität oder Abweichung vom Soll sofort aufzuspüren, um Gegenmaßnahmen einzuleiten.

• Strikte Zugangskontrolle: Zugang zu Gebäuden, Bereichen und IT-Systemen wird nur nach kontextbasierter Authentifizierung gewährt. Moderne Zutrittssysteme können z. B. die Personal-ID mit zusätzlichen Faktoren verknüpfen (Zeitfenster, aktuelle Rolle/Funktion, ggf. biometrische Bestätigung). Just-in-Time-Berechtigungen sind ein weiteres Konzept: Mitarbeiter oder Dienstleister erhalten ihre Zugangsrechte zeitlich befristet genau dann, wenn ein Arbeitseinsatz ansteht, und nur für die betreffenden Räume/Anlagen. Außerhalb dieser Parameter verweigert das System automatisch den Zutritt. Dadurch wird das Risiko eines Missbrauchs gestohlener oder vergessener Zugangskarten erheblich reduziert.

• Integration von physischen und IT-Sensoren: Eine flächendeckende Überwachung kritischer Punkte – z. B. Türen, Fenster, Serverräume – mittels Sensorik (Bewegungsmelder, Türkontakte, Kameras) bildet die Datengrundlage. Diese Sensoren sind vernetzt mit zentralen Sicherheitsleitstellen oder intelligenten Analysesystemen. So kann etwa eine Videoanalyse sofort Alarm schlagen, wenn eine Person ein Sperrgebiet betritt oder sich ungewöhnlich verhält (z. B. längeres Verweilen an sicherheitskritischen Anlagen ohne Autorisierung). Perimeterschutz-Systeme wie Zaunsensoren oder Radare an der Grundstücksgrenze detektieren Einbruchsversuche, noch bevor der Täter im Gebäude ist. All diese physischen Detektoren werden im Zero-Trust-Kontext mit IT-gestützten Regeln ausgewertet: Ein Alarm führt beispielsweise automatisch dazu, dass parallellogisch die IT-Zugriffsrechte der betreffenden Person eingefroren oder Kameras auf die Szene geschwenkt werden.

• IT-Sicherheitsarchitektur und Monitoring: Auf digitaler Seite wird eine Zero-Trust-Netzwerkarchitektur implementiert. Hierzu gehört insbesondere die Netzwerk-Mikrosegmentierung (fein granular getrennte Netzbereiche mit jeweils eigenen Zugangskontrollen). Ein wichtiges Konzept ist die „East-West“-Überwachung im internen Datenverkehr: Während traditionelle Ansätze oft nur den „North-South“-Verkehr an der Außengrenze überwachten, schaut Zero Trust auch innerhalb des Netzwerks genau hin. Jedes Gerät und jede Server-zu-Server-Verbindung kann kontinuierlich auf Anomalien geprüft werden. Security Information and Event Management (SIEM) und Intrusion Detection/Prevention Systeme (IDS/IPS) analysieren Logdaten und Netzwerkpakete in Echtzeit auf Hinweise kompromittierter Konten oder Malware-Bewegungen. Da nach Zero Trust jedes System potenziell schon kompromittiert sein könnte, werden entsprechende Indikatoren (z. B. ein Rechner, der plötzlich versucht, viele andere im Netz zu erreichen, oder ungewöhnliche nächtliche Zugriffe auf Gebäudesteuerungen) sofort als Alarm gewertet (Assume-Breach-Mentalität).

• Integration von Zutritts-, Identitäts- und Überwachungssystemen: Die wahre Stärke einer Zero-Trust-Strategie liegt in der Korrelation verschiedener Signale. Ein isolierter Alarm sagt oft wenig aus – erst das Zusammenführen mehrerer Aspekte ergibt ein klares Bild. Beispiel: Ein Mitarbeiter meldet sich morgens regulär mit Karte am Empfang an. Wenig später versucht dasselbe Badge Zutritt zu einem Bereich, für den der Mitarbeiter keine Berechtigung hat – das Zutrittskontrollsystem blockiert und meldet den Vorfall. Gleichzeitig registriert das IT-System, dass vom PC dieses Mitarbeiters aus eine verbotene Netzwerk-Scan-Aktivität erfolgt. Für sich genommen könnten beide Ereignisse harmlos oder zufällig sein; verknüpft jedoch ergibt sich der Verdacht, dass jemand unbefugt die Karte nutzt und versucht, im Netz zu explorieren – ein starkes Indiz für einen Angriff von innen. In einem Zero-Trust-Modell laufen diese Fäden in einem Security Operations Center (SOC) oder einer integrierten Software zusammen, die solche Muster erkennt und eskaliert. Monitoring-Lösungen müssen daher sowohl physische Parameter (wie Zutrittslogs, Kamera-Feeds) als auch digitale (Logins, Netzwerkverkehr) auswerten können.

• Automatisierte Gegenmaßnahmen (Response): Früher verließen sich Sicherheitsteams oft auf manuelle Reaktionen – etwa ein Sicherheitsdienst, der nach Alarm eine Runde geht. Zero Trust strebt schnellstmögliche, teilweise automatisierte Reaktionen an, um einen erkannten Vorfall sofort einzudämmen. Zum Beispiel kann ein System bei Verdacht auf kompromittierte Zugangsdaten den betreffenden Nutzer-Account umgehend sperren und seine offenen Sessions beenden. Im physischen Bereich könnten bestimmte Türen automatisch verriegeln oder Wachpersonal gezielt via Mobile Device alarmiert werden, wenn ein Einbruchssensor anschlägt. Eine solche Orchestrierung von Abwehrmaßnahmen reduziert die Reaktionszeit dramatisch und erhöht die Wahrscheinlichkeit, dass ein Angriff scheitert oder in einem sehr frühen Stadium abgebrochen wird.

Risikoprävention und -erkennung profitieren zudem von künstlicher Intelligenz und Analytik. Machine-Learning-Algorithmen können etwa typische Bewegungsmuster im Gebäude (Wer bewegt sich wann wo) lernen und auffällige Abweichungen markieren. Ebenso lässt sich das Verhalten von IoT-Geräten oder Nutzern im Netzwerk baseline-basiert überwachen. Zero Trust liefert hier den Rahmen: Alles ist verdächtig, bis das Gegenteil bewiesen ist. Dadurch entsteht eine sehr wachsame Sicherheitsumgebung. Der Vorteil ist, dass Angriffe – ob physisch oder cyber – nicht mehr unbemerkt „unter dem Radar“ bleiben. In traditionellen Umgebungen konnten sich Angreifer mitunter monatelang frei im internen Netzwerk bewegen, ohne entdeckt zu werden. In einer Zero-Trust-Architektur hingegen erzeugt jeder Zugriffsvorgang ein überprüfbares Ereignis, was die Sichtbarkeit deutlich erhöht. Sicherheits-Teams können so Anomalien früher erkennen, schneller eingreifen und den verursachten Schaden minimieren.

Eine besondere Stärke von Zero Trust ist, dass es physische und digitale Sicherheit vereint. Ein aktueller Bericht zeigte, dass 31 % der physischen Sicherheitsverantwortlichen angaben, ihr Unternehmen sei im letzten Jahr gezielt von Cyberkriminellen attackiert worden. Das verdeutlicht die Konvergenz: Täter nutzen kombinierte Angriffspfade, etwa digitale Schwachstellen in physischen Sicherheitssystemen. Daher reicht es nicht mehr, isolierte Insellösungen zu betreiben. Einheitliche Sicherheitsstrategie und Informationsteilung zwischen IT-Security und FM-Security sind unerlässlich. So kann beispielsweise ein Cyberangriff auf das Videomanagementsystem ebenso gefährlich sein wie ein physischer Sabotageakt – und beides gehört in den gleichen Risikomanagement-Prozess. Moderne Tools und Governance-Modelle (siehe Abschnitt 6) unterstützen diese bereichsübergreifende Sicht. Entscheidend ist: Zero Trust schafft einen gemeinsamen Bezugsrahmen, in dem jede Abteilung – IT, FM, etc. – an der Prävention und Früherkennung von Risiken mitwirkt.

Resilienz bezeichnet die Fähigkeit einer Organisation, Störungen und Krisen nicht nur zu überstehen, sondern sich daran anzupassen und gestärkt daraus hervorzugehen. Im Kontext des Unternehmenssicherheitsmanagements bedeutet dies, dass Sicherheitsmaßnahmen direkt zum Erhalt der betrieblichen Kontinuität beitragen. Eine Zero-Trust-orientierte Sicherheitsstrategie erhöht die Resilienz eines Unternehmens in mehrfacher Hinsicht.

Erstens senkt Zero Trust die Eintrittswahrscheinlichkeit und den Impact von Sicherheitsvorfällen. Durch das Prinzip der Segmentierung und minimalen Rechte kann ein Vorfall – sei es ein Einbruch, Sabotageakt oder Cyber-Angriff – in seinem Ausmaß begrenzt werden. Gelingt es einem Angreifer beispielsweise, physisch in einen Bereich einzudringen oder ein Benutzerkonto zu kapern, bleiben die Auswirkungen lokal: Er kommt nicht weit, da andere Bereiche/Accounts ihm den Zugang verwehren. Dies erhöht die Chance, dass der restliche Betrieb unbeeinträchtigt weiterlaufen kann. Der „Fail Safe“-Effekt von Zero Trust unterstützt also die Aufrechterhaltung kritischer Geschäftsprozesse selbst im Störfall. So zeigte etwa eine Forrester-Studie, dass eine konsequente Zero-Trust-Strategie das Risiko schwerwiegender Datenschutzverletzungen um bis zu 50 % reduzieren kann – was direkt die Kontinuität des Geschäftsbetriebs schützt.

Zweitens erfordert Zero Trust eine professionalisierte Notfall- und Reaktionsplanung, was die organisationale Krisenfestigkeit steigert. Da stets davon ausgegangen wird, dass ein Sicherheitsvorfall passieren könnte, werden im Vorfeld klare Incident-Response-Pläne und Notfallprozesse definiert. Ein Beispiel aus dem Facility-Bereich ist der Betriebliche Alarm- und Gefahrenabwehrplan (BAGAP), der festlegt, wie bei Bränden, Explosionen, technischen Unfällen etc. vorzugehen ist. Ein solcher Plan ist in vielen Branchen rechtlich vorgeschrieben und unerlässlich, um Mitarbeiter, Umwelt und Vermögenswerte zu schützen. Aber er dient auch dem Erhalt des Unternehmens: Im Ernstfall hilft er, Schäden einzugrenzen und Ausfallzeiten zu minimieren. Zusammenfassend ist ein gut strukturierter Notfallplan nicht nur Pflichtübung, sondern ein elementares Instrument zur Sicherung der betrieblichen Kontinuität und Ausdruck der Sorgfaltspflicht – gewissermaßen ein „Gebot der Vernunft“ in Sachen Resilienz. Zero Trust fördert die laufende Aktualisierung und Übung solcher Pläne, weil die Kultur des Nicht-Vertrauens davon ausgeht, dass jederzeit ein Notfall eintreten kann.

Drittens unterstützt Sicherheitsmanagement nach Zero-Trust-Grundsätzen die Wiederherstellungsfähigkeit (Recovery). Da im Zero-Trust-Ansatz jede Aktion protokolliert und überwacht wird, stehen im Falle eines Incidents umfangreiche Informationen zur Verfügung, um die Ursache zu ermitteln und schnell gezielte Wiederanlaufmaßnahmen einzuleiten. Beispielsweise lassen sich anhand der Logs genau die betroffenen Systeme und Zugriffe identifizieren, wodurch sich ein gezielter BCM-Plan (Business Continuity Management) auslösen lässt, anstatt pauschal ganze Bereiche herunterzufahren. Zudem flankiert Zero Trust andere Resilienz-Disziplinen: Disaster Recovery-Pläne für IT etwa profitieren von gehärteten Zugriffsmechanismen – im Krisenfall (z. B. Ausfall eines Rechenzentrums) kann man sicher sein, dass nur befugte Personen auf Backup-Systeme zugreifen und die Wiederanlaufprozesse starten. Auch personelle Resilienz wird unterstützt, da klare Zuständigkeiten und Eskalationswege (Wer darf was im Notfall tun?) durch die Sicherheits-Governance vorgegeben sind.

Speziell bei kritischen Infrastrukturen (siehe Abschnitt 5) ist die Gewährleistung der Kontinuität essenziell. Sicherheitsmanagement trägt hier zur Resilienz bei, indem es beispielsweise redundante Schutzebenen schafft (physische Barrieren und Cyber-Abwehrmechanismen, die unabhängig voneinander wirken) und regelmäßige Stresstests bzw. Übungen durchführt. Zero Trust kann dabei als designprägendes Paradigma dienen: man plant Systeme so, dass ein einzelnes Versagen nicht zum Komplettausfall führt, weil andere Komponenten nicht vertrauen und weiterhin autark funktionieren. Ein plastisches Beispiel: In einer industriellen Anlage könnte ein Produktionssegment auch dann sicher heruntergefahren werden, wenn die zentrale Leitsteuerung kompromittiert ist – etwa weil lokale Notsteuerungen vorhanden sind, die nicht vollends der zentralen (möglicherweise manipulierten) Kommandogabe vertrauen. Solche Überlegungen fließen in resilienzorientiertes Systemdesign ein.

Darüber hinaus verweist die Resilienzperspektive auf den Wert von kontinuierlicher Verbesserung im Sicherheitsmanagement. Standards wie ISO 27001 oder branchenspezifische Vorgaben (z. B. ISO 22301 für Business Continuity) fordern einen regelmäßigen Review und Anpassung der Sicherheits- und Notfallkonzepte. Zero Trust begünstigt dies, da es viele Messpunkte und Kennzahlen liefert (Anzahl blockierter Zugriffsversuche, Zeit bis zur Erkennung eines Incidents, Ausmaß einer eingedämmten Attacke etc.), anhand derer sich die Wirksamkeit von Maßnahmen bewerten lässt. Eine Organisation, die Zero Trust lebt, entwickelt quasi automatisch eine lernende Sicherheitskultur, die aus jedem (beinahe-)Vorfall Schlüsse zieht und die Schutzmechanismen verfeinert.

Prävention reduziert die Wahrscheinlichkeit gravierender Zwischenfälle, Überwachung garantiert frühe Erkennung, geplante Reaktion begrenzt Schäden und Vorbereitung ermöglicht das schnelle Wiederhochfahren kritischer Funktionen. Gerade für Facility-Manager ist dies strategisch relevant, denn sie verwalten häufig die Infrastruktur, die als Rückgrat der Wertschöpfung dienen muss – Gebäude müssen zugänglich, sicher und funktionsfähig bleiben, selbst wenn Störungen auftreten. Zero Trust bietet hier einen systematischen, nachweislich effektiven Ansatz, um dieses hohe Maß an Betriebskontinuität und Sicherheit zu gewährleisten.

Verschiedene Umfeldtypen stellen unterschiedliche Anforderungen an das Sicherheitsmanagement. Im Folgenden werden drei Szenarien beleuchtet – kritische Infrastrukturen, industrielle Umgebungen und großvolumige Immobilienportfolios – und wie das Zero-Trust-Prinzip dort jeweils zur Anwendung kommt.

Kritische Infrastrukturen wie Energieversorgung, Wasser/Abwasser, Verkehrssteuerung oder Gesundheitswesen sind für das Gemeinwesen von zentraler Bedeutung. Entsprechend hoch sind die Sicherheitsanforderungen, die in vielen Ländern durch spezielle Gesetze und Verordnungen geregelt werden (in Deutschland z. B. das IT-Sicherheitsgesetz und branchenspezifische KRITIS-Vorgaben durch das BSI). Zero Trust passt insofern gut zu KRITIS, als dass hier keine Kompromisse bei der Sicherheit gemacht werden dürfen: Jede Komponente, jeder Zugang könnte potentiell zum Ziel staatsgefährdender Angriffe werden.

In KRITIS-Organisationen besteht typischerweise eine enge Verzahnung von IT und OT (Operational Technology). Beispielsweise steuert in einem Stromnetz ein SCADA-System (Supervisory Control and Data Acquisition) über IT-Netze physische Schaltanlagen. Die traditionellen Schutzkonzepte setzten hier oft auf Netztrennung und Perimeterschutz (z. B. abgeschottete Leitstellen, eigene Netzsegmente für Steueranlagen). Doch mit zunehmender Digitalisierung (etwa Fernwartung über Internet, Cloud-Anbindung für Analysen) verwischen diese Grenzen. Zero Trust liefert einen Ansatz, OT-Umgebungen sicherer zu machen, birgt aber auch Herausforderungen: Die einzigartigen Eigenschaften vieler OT-Geräte (proprietäre Protokolle, lange Lebenszyklen, Echtzeitanforderungen) lassen sich nicht einfach in ein starres IT-Sicherheitskorsett pressen. Beispiel: Ein Sensor in einer Chemieanlage kann vielleicht keine komplexen Authentifizierungsmechanismen oder häufige Updates verkraften, weil er für Dauerbetrieb und Stabilität ausgelegt ist. Safety und Security müssen hier besonders austariert werden. Zero Trust für OT bedeutet daher v. a.: so viel Schutz wie möglich, ohne die betrieblichen Abläufe zu gefährden. Praktisch wird dies erreicht durch strikte Zonenbildung (wie in IEC 62443 empfohlen), Monitoring an den Übergängen (Deep-Packet-Inspection für industrielle Protokolle) und Identitäts- und Zugriffsmanagement für menschliche Akteure (z. B. Techniker bekommen nur mit MFA und im definierten Zeitfenster Zugang zu Steuerungssystemen).

Die Schwierigkeit, Zero Trust in industriellen Kontrollsystemen umzusetzen, liegt oft in der fehlenden Flexibilität der OT-Komponenten und hohen Verfügbarkeitsanforderungen. Dennoch bewegt sich die Branche in diese Richtung: Regierungsinitiativen (wie der US-Executive Order 2021 für Zero Trust in Bundesbehörden) treiben auch bei KRITIS-Betreibern ein Umdenken voran. Datengetriebene Sicherheit wird zum Schlüsselbegriff – wer kritische Prozesse steuert, muss deren Datenflüsse lückenlos nachvollziehen und absichern können. Ein Zero-Trust-Ansatz verlangt etwa, dass Befehle an eine Turbine oder Schaltanlage stets authentifiziert und geprüft werden, selbst wenn sie aus dem internen Leitnetz kommen. Eine Kompromittierung innerhalb des Netzleitstands – vielleicht durch einen Insider oder Schadsoftware – soll sich nicht ungehindert auf die physische Anlage auswirken können. Konkret könnten Zusatzvalidierungen eingeführt werden, z. B. ein zweiter Bestätigungsfaktor bevor besonders kritische Stellgrößen verändert werden, oder Plausibilitätsprüfungen, die einen ungewöhnlichen Steuerbefehl blockieren.

Des Weiteren ist bei KRITIS die physische Sicherheit der Anlagen essentiell. Kraftwerke, Rechenzentren, Schaltstellen etc. müssen vor physischen Eindringlingen geschützt werden, denn ein koordiniert vorgehender Angreifer könnte versuchen, sowohl Cyber- als auch physischen Zugang zu erlangen. Zero Trust hier bedeutet: selbst wenn jemand auf das Gelände gelangt, trifft er auf weitere innere Sicherungsringe und dauernde Überwachung. Mitarbeiter in KRITIS-Betrieben werden besonders sorgfältig geprüft (Hintergrundchecks) und erhalten oft nur bereichsspezifische Berechtigungen. High-Security-Prinzipien wie das Vier-Augen-Prinzip (zwei Personen müssen anwesend sein für sensible Handlungen) oder „No-Lone-Zones“ (niemand darf sich alleine in einem kritischen Bereich aufhalten) sind physische Manifestationen des Nicht-Vertrauens-Grundsatzes.

Insgesamt zeigt sich: Zero Trust in kritischen Infrastrukturen bedeutet, robuste, redundante Schutzmaßnahmen auf allen Ebenen einzuführen und jede Interaktion als potenziell kritisch anzusehen. Obwohl die Umsetzung komplex ist, erhöhen KRITIS-Betreiber durch diesen Ansatz ihre Widerstandsfähigkeit gegen sowohl High-Tech-Cyberangriffe als auch konventionelle Sabotage – was letztlich gesellschaftlich geboten ist. Modelle wie das NIST-Zero-Trust-Framework mit seinen fünf Säulen (Identität, Gerät, Netzwerk, Anwendung/Workload, Daten) und den Querschnittsthemen Monitoring, Automatisierung und Governance können hier als Blaupause dienen, um nichts auszulassen.

Auch jenseits formal „kritischer“ Sektoren haben industrielle Betriebe (Fertigung, Anlagenbau, Logistik etc.) besondere Anforderungen. Produktionsanlagen müssen häufig rund um die Uhr laufen, Ausfälle oder Manipulationen können erhebliche finanzielle Schäden und Gefährdungen mit sich bringen. Gleichzeitig sind Fabriken im Zuge von Industrie 4.0 immer stärker digital vernetzt. Zero Trust für die Industrie bedeutet daher, sowohl Know-how-Schutz als auch Produktionssicherheit zu gewährleisten.

Ein wesentlicher Aspekt ist der Schutz des geistigen Eigentums und sensibler Produktionsdaten. Fertigungsunternehmen fürchten Spionage oder Datenabfluss (etwa CAD-Zeichnungen, Rezepturen, Kundendaten). Zero Trust adressiert dies, indem es Datenzugriffe strikt regelt und überwacht. Mitarbeiter erhalten nur Zugriff auf die für ihre Rolle notwendigen Konstruktionspläne oder Maschinensteuerungen (Least Privilege), und jeder Datenfluss – z. B. das Herunterladen von Produktionsdaten auf ein Notebook – kann protokolliert und verifiziert werden. Sollte dennoch jemand versuchen, unberechtigt Daten abzuziehen (sei es via USB-Stick vor Ort oder via Remote-Zugriff), fällt dies in einer Zero-Trust-Umgebung schnell als Abweichung auf und kann unterbunden werden. Unternehmen können zudem Techniken wie Digital Rights Management einsetzen, die selbst mitgenommene Daten unbrauchbar machen, falls sie in falsche Hände geraten – auch das passt zur Philosophie, Daten nie zu vertrauen, egal wo sie sich befinden.

Ein anderer Aspekt ist die Absicherung der Produktions-OT. Im industriellen Umfeld greifen oft viele Maschinen und Steuerungssysteme ineinander. Ausfallzeiten sind teuer; ein Cyberangriff, der z. B. eine Fertigungsstraße lahmlegt (wie etwa der bekannte Fall von Ransomware in Autowerken), hat unmittelbare Auswirkungen auf Umsatz und Lieferfähigkeit. Zero Trust hilft hier, Störungen zu verhindern und einzugrenzen. So werden OT-Netze in feine Segmente unterteilt: Roboter A kann nicht auf Steuerung B zugreifen, wenn das nicht ausdrücklich erforderlich ist. Lateral Movement eines Schadprogramms wird dadurch erschwert. Zudem werden Zugänge für Drittparteien (Wartungstechniker, Maschinenlieferanten) sorgfältig kontrolliert. In modernen Fabriken ist es oft üblich, dass externe Techniker remote auf Maschinen zugreifen, um Updates einzuspielen oder Fehler zu diagnostizieren – ein enormes Risiko, falls deren Zugang missbraucht wird. Hier empfiehlt sich ein Zero-Trust-Zugangssystem, etwa über eine gesicherte Remote-Access-Plattform mit starker Authentifizierung, Session-Monitoring und automatischer Abschaltung nach erledigter Arbeit. So kann ein Unternehmen Lieferanten und Dienstleister einbinden, ohne die eigenen Kernsysteme zu exponieren.

Menschliche Faktoren spielen in industriellen Umgebungen ebenfalls eine große Rolle. Produktionsmitarbeiter sind primär auf Sicherheit im Sinne von Arbeitsschutz und Prozessstabilität trainiert; IT-Security-Maßnahmen dürfen diese nicht übermäßig behindern. Zero Trust muss daher so implementiert werden, dass es die Bediener nicht unnötig belastet – z. B. durch Single Sign-On-Lösungen gekoppelt mit Werksausweisen, um nicht ständig Passwörter eintippen zu müssen, jedoch kombiniert mit Hintergrundüberwachung. Schulungen sind wichtig, damit alle verstehen, warum man z. B. nicht einfach einen unbekannten USB-Datenträger an einer Fertigungsmaschine einstecken darf (Stuxnet lässt grüßen). Die Kultur, keine voreiligen Abkürzungen zu nehmen („Ich lasse die Anlage kurz auf Maintenance Mode ohne Authentifizierung, damit es schneller geht“) muss verankert werden – dazu in Abschnitt 7 mehr.

Ein greifbarer Nutzen von Zero Trust in der Industrie ist auch die Reduktion von Ausfallzeiten. Durch die intensive Überwachung und schnellen Reaktionsmechanismen werden Vorfälle eher erkannt, bevor sie eskalieren. Beispielsweise könnte eine Anomalieerkennung eine schrittweise Verschlechterung der Netzwerkkommunikation einer Maschine (durch Malware verursacht) früh detektieren und isolieren, bevor die gesamte Produktionslinie stillsteht. Zudem erhöht Zero Trust die Wartungsplanungssicherheit: Wenn Systeme nur in definierten Fenstern und von definierten Personen verändert werden dürfen, sinkt die Gefahr unkoordinierter Eingriffe, die Störungen verursachen. Insgesamt ermöglicht es Unternehmen, innovationsoffen zu bleiben – neue Maschinen, Cloud-Services oder Partnerschnittstellen können integriert werden, weil das Zero-Trust-Modell flexibel Schutz drumherum baut. So lassen sich moderne Technologien (etwa KI-Analyse von Produktionsdaten in der Cloud) einsetzen, ohne dass man ein großes neues Angriffsrisiko eingeht – das Sicherheitsframework passt sich an.

Unternehmen mit vielen oder räumlich verteilten Immobilien – etwa Filialunternehmen, Liegenschaftsverwaltungen, Campus-Konzerne – stehen vor der Herausforderung, ein konsistentes Sicherheitsniveau über alle Objekte hinweg sicherzustellen. Unterschiedliche Standorte bringen unterschiedliche lokale Risiken und Gegebenheiten mit sich (z. B. ein City-Bürohochhaus vs. ein abgelegenes Logistiklager), doch von zentraler Stelle aus will man dennoch übersichtlich steuern und koordinieren können.

Ein Zero-Trust-Ansatz in großvolumigen Immobilienportfolios bedeutet zunächst, jede Liegenschaft individuell abzusichern, aber zentral zu überwachen und zu managen. Praktisch kann dies durch eine zentrale Leitstelle oder ein Security Operations Center geschehen, das alle Objektsicherheitsanlagen zusammenschaltet. Jede Immobilie wird als eigenes „Mikrosegment“ betrachtet: lokale Zugangssysteme, Kameras und Netzwerke sind vor Ort wirksam, aber zugleich in eine konzernweite Strategie eingebettet. So könnte z. B. ein Vorfall in Objekt A (etwa ein unbefugter Zutritt oder ein Cyber-Angriff auf das lokale Netzwerk) automatisch an die Zentrale gemeldet werden, woraufhin umgehend alle anderen Standorte alarmiert werden, vergleichbare Angriffsmuster zu prüfen. Gefahreninformation und Gegenmaßnahmen lassen sich so schnell über das gesamte Portfolio ausrollen – ein Angreifer, der versucht, nach Alarm in Objekt A zum nächsten weniger geschützten Objekt B zu wechseln, trifft dort bereits auf erhöhte Wachsamkeit.

Weiterhin ermöglicht Zero Trust auch die Einführung einheitlicher Richtlinien und Governance über alle Standorte. Selbst wenn z. B. die Zugangstechnik an verschiedenen Orten differiert (hier Drehkreuze mit Badge, dort ein bemannter Empfang mit Ausweiskontrolle), kann die dahinterliegende Policy zentral definiert sein: Etwa, dass jeder Besucher einen temporären digitalen Identitätsnachweis erhalten muss, der für alle Gebäude gilt; oder dass Mitarbeiterzugänge nach 18 Uhr generell nur mit Zweitfaktor (PIN oder App) möglich sind, egal an welchem Standort. Solche Regeln lassen sich durch zentral gemanagte Systeme ausrollen. Wenn Normen wie ISO 41001 angewendet werden, profitieren große Portfolios, da diese einen konsistenten Managementrahmen für alle Facilities schaffen. Die Norm verlangt konsistente Prozesse und Berücksichtigung der Anforderungen aller Beteiligten – hierzu zählt auch die Sicherheit. Ein FM-Unternehmen mit ISO-41001-Zertifizierung wird typischerweise standardisierte Sicherheitskonzepte für alle Objekte etablieren, was Zero Trust erleichtert.

Eine Herausforderung ist die Skalierbarkeit: Dutzende oder gar Hunderte Liegenschaften zu verwalten, kann Unübersichtlichkeit erzeugen. Zero Trust hilft hier, indem es die wichtigen Schutzziele vereinheitlicht – im Kern sind es immer Identitäten, Geräte, Daten und Verbindungen, die geschützt werden müssen, egal wo. Tools zur Automatisierung und Orchestrierung (eine der Zero-Trust-Grundsäulen) spielen eine große Rolle: Zentrale Policy-Engines können automatisiert durchsetzen, dass z. B. ein entzogenes Zugriffsrecht (Mitarbeiter verlässt Firma) sofort auf allen Badges aller Standorte und allen IT-Konten global wirksam wird. Cloud-basierte Sicherheitslösungen gewinnen an Bedeutung, um über geografische Distanzen Konsistenz zu wahren. Beispielsweise kann ein Cloud-Zutrittsmanagement-System sämtliche Türen in allen Gebäuden verwalten; die lokalen Systeme beziehen ihre Freigabe-Entscheidungen in Echtzeit von diesem vertrauenswürdigen Cloud-Dienst. Hier zeigt sich wiederum die Notwendigkeit, auch der Cloud nicht blind zu vertrauen: Unternehmen müssen sorgfältig auswählen, welche Dienstleister sie einsetzen. Es empfiehlt sich, Partner und Lieferanten nach Zero-Trust-Fähigkeit auszuwählen – d.h. solche, die selbst hohe Sicherheitsstandards verfolgen und entsprechende Zertifizierungen vorweisen. Ein Dienstleister etwa, der zentral die Videoüberwachung aller Objekte cloudbasiert anbietet, sollte nachweisen können, dass seine Rechenzentren und Anwendungen nach Zero-Trust-Prinzipien gesichert sind (z. B. vollständige Verschlüsselung aller Daten, Mandantentrennung, kontinuierliches Penetration Testing usw.).

In großen Immobilienportfolios besteht zudem oft die Schwierigkeit der Bestandsheterogenität: Alte und neue Gebäude, verschiedene Technologien. Zero Trust verlangt hier eine geschickte Migrationsstrategie. Ältere Gebäude lassen sich nicht von heute auf morgen mit High-Tech ausstatten; aber man kann auch dort prinzipiell das Paradigma umsetzen, etwa durch organisatorische Maßnahmen (Zusatzkontrollen, personelle Überwachung) als Interimslösung. Bei Neubauten hingegen kann Zero Trust schon in der Planungsphase berücksichtigt werden – z. B. indem man die IT-Infrastruktur direkt segmentiert auslegt, redundante Sicherheitszonen baulich trennt etc. Interessanterweise kann Zero Trust auch Synergien und Einsparungen ermöglichen: Wenn alle Objekte an eine zentrale Sicherheitssteuerung angebunden sind, benötigt man ggf. weniger Personal vor Ort, weil vieles remote überwacht werden kann. Wichtig ist aber, dass dies nicht zu Lasten der Reaktionsfähigkeit geht – hier hilft wiederum Technik wie ferngesteuerte Alarmsysteme und lokale Interventionspartnerschaften.

In Summe profitieren große Portfolios von Zero Trust durch ein höheres, gleichmäßiges Schutzniveau und die Fähigkeit, übergreifend auf Vorfälle zu reagieren. Sie können das Vertrauen von Mietern, Kunden und Geschäftspartnern stärken, indem nachweislich ein robustes, standardisiertes Sicherheitsmanagement besteht. Gerade bei Unternehmen, die Sicherheit als Dienstleistung verkaufen (etwa Facility-Management-Anbieter, die für Kunden Gebäude betreiben), wird Zero Trust zu einem Qualitätsmerkmal, das man vermarkten kann. Voraussetzung ist allerdings, dass intern eine starke Governance und klare Prozesse etabliert wurden – was im folgenden Abschnitt erörtert wird.

Die Einführung einer Zero-Trust-Strategie im Facility Management erfordert ein solides Governance-Modell, das festlegt, wie Sicherheitsentscheidungen getroffen, umgesetzt und überwacht werden. Governance bildet das Rückgrat dafür, dass technische Maßnahmen und Prozesse unternehmensweit konsistent wirken und dauerhaft eingehalten werden. Im Kontext Zero Trust bedeutet Governance insbesondere, Richtlinien, Verfahren und Verantwortlichkeiten so zu definieren, dass alle Dimensionen (Identitäten, Geräte, Anwendungen, Daten, Netzwerke) abgedeckt sind und bereichsübergreifend ineinandergreifen. Anders ausgedrückt: Governance schafft den organisatorischen Rahmen, in dem Zero Trust gelebt wird – es sorgt dafür, dass „Never Trust, Always Verify“ nicht nur ein IT-Projekt ist, sondern ein Unternehmensgrundsatz.

Ein bewährtes Modell hierfür ist die Implementierung eines integrierten Managementsystems für Sicherheit. ISO/IEC 27001 liefert etwa eine Struktur, um Informationssicherheit systematisch zu managen – inklusive Top-Management-Verantwortung, Policy-Management, Risikobeurteilung, Audits und kontinuierlicher Verbesserung. Im Facility Management kann dies mit ISO 41001 verzahnt werden, indem Sicherheitsmanagement als Prozess innerhalb des FM-Managementsystems verankert wird. So gibt es z. B. definierte Rollen wie einen Sicherheitsbeauftragten FM, einen Informationssicherheitsbeauftragten etc., die gemeinsam die Zero-Trust-Policies erarbeiten.

• IT-Abteilung: Die Verzahnung mit der IT ist am offensichtlichsten, da Zero Trust historisch aus der IT-Sicherheit kommt. In vielen Unternehmen werden physische Sicherheit (Werkschutz/FM) und Informationssicherheit (IT) jedoch getrennt verantwortet. Eine Zero-Trust-Governance sollte hier Brücken schlagen, z. B. durch ein gemeinsames Gremium oder Komitee (etwa ein Security Steering Committee), in dem FM-Security und IT-Security sowie weitere Stakeholder regelmäßig Lage und Maßnahmen abstimmen. Die IT liefert das technische Rüstzeug (Netzwerksegmentierung, Identity & Access Management, Monitoring-Tools), während das FM die operative Umsetzung vor Ort gewährleistet (z. B. Schulung von Security-Personal, physische Zugangshürden). Klare Prozesse müssen definieren, wie Erkenntnisse aus IT-Systemen an das Facility-Team fließen und umgekehrt. Ein Beispiel: Erkennt die IT einen verdächtigen Anmeldungsversuch eines Mitarbeiters, kann das FM-Team überprüfen, ob derselbe Mitarbeiter sich unbefugt im Gebäude bewegt. Durch definierte Kommunikationswege (z. B. Ticketsystem oder Alarmierungskette) wird sichergestellt, dass diese bereichsübergreifende Kooperation reibungslos läuft.

• Human Resources (HR): Die Personalabteilung spielt im Zero-Trust-Kontext eine wichtige Rolle, weil viele Sicherheitsprozesse an Personalereignisse gekoppelt sind – Einstellung, Versetzung, Austritt. Ein Zero-Trust-Modell verlangt z. B., dass On- und Offboarding-Prozesse strikt eingehalten werden: Bevor ein neuer Mitarbeiter physisch oder digital Zugriff bekommt, müssen alle Freigaben vorliegen (HR prüft z. B. Zuverlässigkeit, erstellt Identitätsprofil). Umgekehrt muss beim Ausscheiden eines Mitarbeiters ein sofortiger Rechteentzug erfolgen (Badge sperren, IT-Account deaktivieren), damit kein Restvertrauen für Externe bestehen bleibt. Hierfür müssen HR-Systeme, Zugangskontrolle und IT-Verzeichnisdienste integriert oder eng abgestimmt sein. Hintergrundüberprüfungen (Background Checks) für sicherheitskritische Positionen sind ebenfalls relevant – HR stellt sicher, dass nur geeignetes, überprüftes Personal in Positionen mit hohen Privilegien gelangt, was dem Zero-Trust-Gedanken („traue keinem“) Rechnung trägt, indem von Beginn an Vertrauen nur bei erwiesener Vertrauenswürdigkeit ausgesprochen wird. HR ist auch Schlüsselspieler beim Thema Awareness und Schulung (dazu mehr in Abschnitt 7), was Teil der Sicherheitsgovernance sein sollte.

• Compliance/Recht: Die Compliance-Stelle achtet auf die Einhaltung gesetzlicher Vorgaben und interner Policies – hier gibt es Überschneidungen mit Zero Trust, beispielsweise bei Datenschutz (GDPR) oder branchenspezifischen Sicherheitsvorschriften. Eine Zero-Trust-Implementierung, gerade wenn sie umfangreiche Überwachung beinhaltet, muss datenschutzkonform gestaltet sein (Verhältnismäßigkeit, Zweckbindung, ggf. Mitbestimmung des Betriebsrats). Compliance kann sicherstellen, dass z. B. Videoüberwachung nur in zulässigem Rahmen eingesetzt wird, oder dass bei der kontinuierlichen Mitarbeiterüberprüfung keine Persönlichkeitsrechte verletzt werden. Gleichzeitig hilft Zero Trust bei der Compliance: Durch die feingranulare Zugriffskontrolle und lückenhafte Protokollierung lassen sich Anforderungen aus ISO-Normen oder aufsichtsrechtlichen Vorgaben leichter erfüllen und nachweisen. Governance bedeutet hier, dass Security-Policies eng mit Datenschutz- und Compliance-Richtlinien abgestimmt werden. Oft entstehen Schnittstellen-Dokumente oder Matrix-Verantwortlichkeiten, wo klar definiert ist, wer im Unternehmen wofür verantwortlich ist (z. B. IT für technische Umsetzung, FM für physische Umsetzung, Compliance für Prüfung und Beratung, Management für Freigabe etc.).

• Lieferkettenmanagement (Procurement, Supply Chain): Auch externe Partner und Dienstleister müssen ins Zero-Trust-Modell einbezogen werden. Governance muss regeln, wie Zulieferer, Subunternehmer oder Servicepartner auf Gelände und Systeme zugreifen dürfen. Beispielsweise sollte es standardisierte Verfahren geben für Besuchermanagement (Voranmeldung, Identitätsnachweis), Zugriff auf Firmennetz für Wartungsfirmen (über gesichertes VPN mit starker Authentisierung, nur zu bestimmten Zeiten), oder Sicherheitsaudits bei Lieferanten. Das Motto lautet: Vertrauen Sie auch Ihren Partnern nicht blind – überprüfen Sie sie. Tatsächlich empfehlen Experten, Zero Trust über die eigene Organisation hinaus zu denken: Das Konzept sollte sich über die gesamte Lieferkette erstrecken. Praktisch heißt das, Vertragsbedingungen können Sicherheitsanforderungen enthalten (z. B. dass der Bewachungsdienst nur Personal einsetzt, das überprüft wurde, oder dass IT-Dienstleister bestimmte Zertifizierungen mitbringen). Auch technisch kann man Partner einbinden, etwa via Federation von Identitäten (ein Lieferant bekommt temporäre digitale Identitäten für sein Personal, verwaltet durch ein vertrauenswürdiges gemeinsames System). Die Governance muss hier definieren, welche Kriterien ein Geschäftspartner erfüllen muss, um Zugang zum „Zero-Trust-Ökosystem“ des Unternehmens zu erhalten. Regelmäßige Reviews und vielleicht ein Lieferantenbewertungssystem in puncto Sicherheit sind sinnvoll. So wie man Qualität und Finanzstabilität prüft, wird künftig die Security-Reife von Partnern ein entscheidendes Kriterium sein.

Insgesamt sollte das Governance-Modell klar dokumentiert und von der Unternehmensführung getragen sein. Eine Sicherheitsrichtlinie (Security Policy) auf hoher Ebene formuliert typischerweise die Grundsätze (z. B. „Unser Unternehmen verfolgt einen Zero-Trust-Ansatz. Jede Identität und jedes Gerät muss eindeutig verifiziert sein, bevor Zugang zu Ressourcen erfolgt.“). Darunter hängen unterstützende Richtlinien (Access Control Policy, Network Security Policy, Facility Security Policy etc.), die die Umsetzung regeln. Wichtig ist, dass Governance nicht bei der Papierlage stehenbleibt: Kontrolle und Auditierung müssen sicherstellen, dass die Vorgaben gelebt werden. Interne Audits, Penetrationstests, Security-Drills (z. B. unangekündigte Versuchseinbrüche als Test) und regelmäßiges Reporting ans Management schaffen Transparenz über den Umsetzungsstand.

Zudem greift das Zero-Trust-Prinzip sogar in die IT-Governance selbst ein: Es fordert ja, dass selbst Administratoren keinen pauschalen Vollzugriff haben, sondern Änderungen durch Change-Management-Prozesse laufen und möglichst nachvollziehbar (im Vier-Augen-Prinzip) geschehen. Das heißt, die internen Prozesse der IT-Betriebsteams sollten an Zero Trust angepasst sein – keine verdeckten Hintertüren, keine unbekannten Shadow-IT-Komponenten. Hier verschwimmen Governance und Kultur: Nur wenn alle Ebenen verstanden haben, warum diese Strenge notwendig ist, wird sie auch akzeptiert und umgesetzt.