Unternehmenssicherheitsmanagement: Risikostrategie

• Gebäude- und Betriebssicherheit umfasst alle Schutzmaßnahmen, die ein Unternehmen ergreift, um seine baulichen Anlagen, technischen Einrichtungen und betrieblichen Abläufe vor Schadensereignissen zu bewahren. Hierbei ist eine Risikostrategie erforderlich, die festlegt, wie mit identifizierten Risiken systematisch umgegangen wird. Die Entwicklung einer solchen Strategie beginnt mit der Frage: Welchen Risiken sind unsere Gebäude und Betriebsprozesse ausgesetzt, und welche Haltung nehmen wir als Unternehmen gegenüber diesen Risiken ein? Daraus leiten sich Prioritäten und Handlungsoptionen ab.

• Risikofelder im Facility Management: Das Facility Management (FM) deckt ein breites Spektrum an Verantwortlichkeiten ab – vom Gebäudebetrieb über die technische Infrastruktur, Versorgungseinrichtungen und Sicherheitstechnik bis hin zur Instandhaltung und zum Dienstleistungsmanagement. Jede dieser Verantwortlichkeiten bringt spezifische Risiken mit sich. Eine zentrale Bedrohung ist z. B. die Möglichkeit technischer Störungen, welche den Betrieb oder die Produktion lahmlegen könnten. Ein ungeplanter Ausfall von Gebäudetechnik, IT-Systemen oder Versorgungsleitungen kann zu erheblichen finanziellen Verlusten führen. Um diesem Risiko zu begegnen, müssen vorbeugende Maßnahmen wie sorgfältige Wartung der Anlagen, regelmäßige Prüfungen sowie ein robustes Störungs- und Notfallmanagement etabliert werden. Auch Brände oder andere Naturgefahren (Sturm, Hochwasser, Erdbeben) stellen eine ernste Gefahr dar und erfordern wirksame Brandschutzkonzepte, Alarmierungs- und Evakuierungspläne sowie – wo möglich – bauliche Vorkehrungen, um Schäden zu begrenzen.

• Ein weiteres Feld sind Gefahrstoffe und besondere Betriebsrisiken: Der Umgang mit gefährlichen Materialien (Chemikalien, Gasen, biologischen Stoffen etc.) oder z. B. mit Strahlungsquellen muss strikten Vorschriften genügen, um Gesundheitsschäden und Umweltrisiken zu vermeiden. Hierzu gehören Schulungen, technische Schutzvorrichtungen und Notfallprozeduren bei Unfällen mit Gefahrgut. Gleichzeitig müssen die Standorte und Einrichtungen selbst gegen äußere Bedrohungen geschützt werden: Einbrüche, Diebstahl und Vandalismus können nicht nur Sachschäden verursachen, sondern auch Betriebsabläufe stören oder sensible Informationen kompromittieren. Daher sind Zutrittskontrollsysteme, Wachpersonal, Videoüberwachung und Einbruchmeldeanlagen in vielen Fällen unerlässlich.

• Risikostrategie-Entwicklung: Angesichts dieser Vielfalt an Risiken ist eine klare Strategie nötig. Zunächst gilt es, im Rahmen der Risikoanalyse alle relevanten Gefahrenquellen systematisch zu identifizieren (z. B. mittels Begehungen, Experteninterviews, Auswertung von Störfallhistorie und Schadensereignissen). Anschließend wird jedes identifizierte Risiko bewertet in Bezug auf die Eintrittswahrscheinlichkeit und das Schadensausmaß, um die wesentlichen Risiken zu erkennen (dazu mehr im Kapitel zur Risikobewertung). An dieser Stelle kommt das Konzept der Risikoneigung bzw. Risikobereitschaft ins Spiel: Jedes Unternehmen sollte definieren, welches Ausmaß an Risiko es bereit ist einzugehen (Risk Appetite). Daraus ergibt sich, wie strikt einzelne Risiken vermieden oder toleriert werden. Die Risikostrategie eines Unternehmens beschreibt letztlich das allgemeine Vorgehen im Umgang mit Risiken und bildet einen Handlungsrahmen für konkrete Entscheidungen. Sie kann beispielsweise festlegen, dass bestimmte Risikoarten (etwa Risiken mit katastrophalem Schadenspotenzial) grundsätzlich zu minimieren oder zu versichern sind, während man geringfügige Restrisiken bewusst akzeptiert.

• Risiko vermeiden – Die riskante Aktivität wird ganz unterlassen, um das Risiko vollständig zu eliminieren. Beispiel: Verzicht auf die Lagerung extrem gefährlicher Stoffe am Standort, wenn möglich, oder Outsourcing gefährlicher Prozesse.

• Risiko vermindern – Durch präventive Schutzmaßnahmen wird die Eintrittswahrscheinlichkeit oder das Schadensausmaß reduziert. Beispiele: Einbau von Brandmelde- und Löschanlagen, Redundanz wichtiger Anlagen, Schulung von Mitarbeitern in Sicherheitsprozeduren.

• Risiko übertragen – Das Risiko wird an Dritte weitergegeben, etwa durch Abschluss von Versicherungen oder Beauftragung externer Dienstleister (z. B. Security-Dienst). Finanzielle Risiken lassen sich so teilweise an Versicherer übertragen (Versicherungsschutz gegen Feuer, Betriebsunterbrechung etc.), was im Schadensfall Liquidität sichert.

• Risiko akzeptieren – Das Restrisiko wird bewusst in Kauf genommen, wenn es als gering eingestuft wird oder Gegenmaßnahmen unwirtschaftlich wären. Voraussetzung ist, dass das Unternehmen die Tragweite des potenziellen Schadens tragen kann und die Entscheidung zur Akzeptanz verantwortbar ist.

Eine wirksame Risikostrategie im Facility Management kombiniert meist mehrere dieser Ansätze je nach Risikotyp. So wird man z. B. das Risiko „Großbrand im Rechenzentrum“ typischerweise nicht akzeptieren, sondern durch Brandschutz (Risiko vermindern) und Versicherung (Risiko übertragen) adressieren, während ein geringes Risiko wie „Diebstahl eines unkritischen Verbrauchsgegenstands“ eventuell toleriert werden kann. Wichtig ist die Konsistenz: Die angewandten Maßnahmen sollten zur Risikoneigung passen und nicht widersprüchlich sein. Außerdem muss die Strategie regelmäßig überprüft und angepasst werden, da sich sowohl die Bedrohungslage als auch die Unternehmensanforderungen ändern können. Unternehmen und Märkte unterliegen einem stetigen Wandel, und damit ändern sich auch Chancen und Risiken – Risikomanagement ist deshalb kein einmaliger Akt, sondern ein kontinuierlicher Prozess.

Anwendung in der Betriebspraxis: Bei der Umsetzung der Risikostrategie im Facility Management kommt es darauf an, alle relevanten Akteure einzubinden – vom technischen Gebäudemanagement über den Sicherheitsdienst bis zur Unternehmensführung. Praktische Hilfsmittel wie Checklisten können helfen, sowohl die organisatorische Umsetzung (Aufbau- und Ablauforganisation der Sicherheit) als auch die technischen Schutzvorkehrungen systematisch zu überprüfen. Solche Selbstbewertungen decken Schwachstellen auf und verringern das Risiko, dass dem Management im Ernstfall Versäumnisse (Organisationsverschulden) vorgeworfen werden. Die Anwendung der Risikostrategie zeigt sich schließlich in konkreten Maßnahmen: Etwa in der Entscheidung, zusätzliche Zutrittsschleusen zu installieren, ein neues Vertragskonzept mit Bewachungsdienstleistern aufzulegen, Notstromaggregate anzuschaffen oder verbindliche Verhaltensanweisungen für Mitarbeiter zu erlassen. Jede Maßnahme ist dabei an der übergeordneten Strategie zu spiegeln: Trägt sie dazu bei, priorisierte Risiken zu beherrschen, und steht der Aufwand im Verhältnis zum Nutzen? Hier schließt sich der Kreis zum ganzheitlichen Sicherheitsmanagement-Gedanken: Alle Sicherheitsaktivitäten verfolgen letztlich das Ziel, Personen, Werte und Prozesse zu schützen, und sie müssen wirtschaftlich vertretbar sein. Gesetzliche Vorgaben stellen in der Regel nur Minimalanforderungen dar; es liegt im Eigeninteresse des Unternehmens, durch eine ganzheitliche Sichtweise weitere freiwillige Sicherheitsmaßnahmen ins Auge zu fassen, die über das Minimum hinausgehen – insbesondere wenn dadurch Versicherungsprämien gesenkt werden können, ohne die Risiken zu erhöhen.

Es ist die Risikostrategie in der Gebäude- und Betriebssicherheit der Fahrplan, der vorgibt, wie ein Unternehmen seine spezifischen Sicherheitsrisiken managt. Sie basiert auf einer fundierten Analyse, orientiert sich an der Risikobereitschaft des Unternehmens und setzt einen Mix von Vermeidungs-, Minderungs-, Transfer- und Akzeptanzmaßnahmen ein, um ein optimales Schutzniveau zu erreichen. Durch die klare Strategie werden Sicherheit und wirtschaftliche Vernunft in Einklang gebracht – ein entscheidender Erfolgsfaktor im Facility Management.

• Sicherheitsmanagement kann nur dann effektiv sein, wenn es integraler Bestandteil der Unternehmensprozesse ist. Im Facility Management bedeutet dies, dass sicherheitsrelevante Prozesse von der strategischen Planung bis zur operativen Durchführung eingebunden und aufeinander abgestimmt werden. Strategisches Facility Management befasst sich mit der langfristigen Planung und Steuerung aller gebäudebezogenen und infrastrukturellen Funktionen zur Unterstützung der Kernziele des Unternehmens. Sicherheitsaspekte dürfen hierbei nicht isoliert betrachtet werden, sondern müssen in die strategischen Ziele, Governance-Strukturen und Kernprozesse des Facility Management integriert sein.

• Status quo und Handlungsbedarf: In vielen Unternehmen fehlt bislang eine einheitliche Vorgehensweise zur Integration von Sicherheitsmanagement ins FM. Oft existieren Insellösungen: Beispielsweise ist der Arbeitsschutz (Arbeitssicherheit) in einer separaten Abteilung angesiedelt, die Gebäudesicherheit (z. B. Zutrittskontrolle, Objektschutz) wird vielleicht durch einen externen Sicherheitsdienst erledigt, und die IT-Sicherheit obliegt der IT-Abteilung. Diese Aufsplitterung kann zu Lücken und Ineffizienzen führen. So werden wirtschaftliche Folgen von Sicherheitsmaßnahmen beim Betrieb von Gebäuden und Anlagen häufig nicht ausreichend analysiert und bewertet. Umgekehrt bleiben sicherheitsrelevante Schwachstellen in FM-Prozessen unerkannt, wenn kein Gesamtblick vorhanden ist – z. B. können ineffiziente Prozesse oder unklare Schnittstellen im Facility Management selbst zur Ursache von Risiken werden (etwa wenn Wartungsprozesse unkoordiniert sind und dadurch sicherheitskritische Anlagen ausfallen).

• Integration als Teil des Managementsystems: Ein wirkungsvolles Unternehmenssicherheitsmanagement verlangt eine ganzheitliche Sicht. Sicherheit sollte als übergeordnete Managementaufgabe verstanden werden, die in alle relevanten Unternehmensprozesse hineinwirkt. Praktisch bedeutet das: In der strategischen FM-Planung müssen Sicherheitsziele mitformuliert werden (z. B. „Schutzziele für Gebäude: keine unbefugten Zutritte, höchstmögliche Verfügbarkeit kritischer Anlagen, etc.“). Bei Investitionsentscheidungen (wie der Auswahl einer Zugangstechnologie oder eines neuen Gebäudestandorts) sind Sicherheitsrisiken systematisch zu berücksichtigen. Sicherheitsrelevante Prozesse – beispielsweise der Notfallmeldungsprozess, die Reaktion auf technische Störungen, oder der Prozess der Zutrittsverwaltung – sollten klar definiert, dokumentiert und Bestandteil des integrierten Managementsystems sein. Viele Unternehmen orientieren sich dabei an Normen wie ISO 31000, die ausdrücklich fordert, Risikomanagement (und damit Sicherheitsmanagement) in alle Prozesse und Aktivitäten der Organisation zu integrieren, weg von der Silomentalität. Sicherheit als Teil des Risikomanagement-Prozesses wird folglich in ein einheitliches Managementsystem eingebettet, um eine optimale Wirkung zu erzielen.

• Prozessschnittstellen und Verantwortlichkeiten: Die Integration erfordert auch, dass klare Zuständigkeiten und Schnittstellen definiert werden. Im Facility Management sind oft viele interne und externe Akteure beteiligt (Technik, Infrastruktur, Dienstleister, Nutzer der Gebäude, etc.). Es sollte eindeutig festgelegt sein, wer für welchen Sicherheitsprozess verantwortlich ist – etwa: Wer führt regelmäßige Risikoinspektionen in Gebäuden durch? Wer aktualisiert die Notfallpläne? Wie ist der Prozess, um Sicherheitsvorfälle zu melden und zu behandeln? Organigramme und RACI-Matrizen (Responsible, Accountable, Consulted, Informed) können hier hilfreich sein, um sicherheitsrelevante Aufgaben in der FM-Organisation zu verankern. Beispielsweise könnte die Konzernsicherheit als Stabsstelle fungieren, die Richtlinien vorgibt und berät, während das operative FM die Umsetzung vor Ort verantwortet. Regelmäßige Abstimmungen (etwa Sicherheits-Reviews in Management-Meetings, Teilnahme des Sicherheitsbeauftragten an FM-Besprechungen) sorgen dafür, dass Informationen fließen und Entscheidungen gemeinsam getragen werden.

• Beispiele integrierter Ansätze: Integriertes Sicherheitsmanagement im FM zeigt sich z. B. daran, dass bei der Planung eines neuen Standorts von Beginn an Sicherheitsanforderungen berücksichtigt werden (Zutrittszonenkonzept, baulicher Objektschutz, Sicherheitslevel der technischen Gebäudeausrüstung). Ein anderes Beispiel ist die Verzahnung von Instandhaltungsmanagement und Sicherheitsmanagement: Kritische Anlagen (z. B. Sprinkleranlagen, Notstromdiesel, Alarmanlagen) erhalten priorisierte Wartung, und deren Ausfall wird in Risikoanalysen besonders berücksichtigt. Im Betriebsalltag bedeutet Integration etwa, dass im Störungsmanagement-Prozess Sicherheitsaspekte mitgedacht werden – wenn ein Ausfall einer Klimaanlage einen Serverraum betrifft, greift neben dem FM-Helpdesk auch sofort ein definierter IT-Notfallprozess. Weiterhin sollten Notfallübungen (z. B. Evakuierungsdrills, Feueralarm-Tests) gemeinsam von FM, Arbeitsschutz und Sicherheitsmanagement geplant und durchgeführt werden, anstatt isoliert. Auch beim Business Continuity Management (BCM, siehe eigenes Kapitel) wirken FM und Security eng zusammen: der FM-Bereich stellt z. B. Ausweichflächen und Ersatzinfrastruktur bereit, während das Security-Team die Gefährdungslage bewertet und Schutzmaßnahmen für die Fortführung des Betriebs plant.

• Letztlich bedeutet Integration, dass Sicherheitsmanagement nicht als Fremdkörper im Facility Management läuft, sondern als dessen Bestandteil wahrgenommen wird. Entscheidungen im FM – ob strategisch oder operativ – sollten immer den „Sicherheits-Check“ durchlaufen: Welche Risiken sind tangiert, wie passen unsere Maßnahmen dazu? Wie beeinflusst dies unsere Risikolage? Nur so wird Sicherheitsmanagement effektiv und effizient: effektiv, weil alle relevanten Risiken adressiert werden, und effizient, weil Doppelarbeit und Lücken vermieden werden. Eine erfolgreiche Integration zeigt sich daran, dass Sicherheitsüberlegungen selbstverständlich in Planung, Bau, Betrieb und Instandhaltung von Gebäuden einfließen und nicht als lästige Pflichtübung „on top“ gesehen werden. Das Sicherheitsniveau wird so zu einer messbaren Größe im FM, die kontinuierlich überwacht und verbessert wird (z. B. via KPIs wie Anzahl Sicherheitsvorfälle, Audit-Ergebnisse, erreichte Schutzziele). Im Ergebnis entsteht ein einheitliches, lückenloses Sicherheitskonzept, das klar definierte Prozesse und Anforderungen an Räumlichkeiten, Bereiche und Verantwortliche enthält – und das die Belange von Gebäude- und IT-Sicherheit zusammenführt.

• Eine zentrale Grundlage jeder Sicherheitskonzeption ist die Ermittlung des Bedarfs an Schutz für die verschiedenen Werte und Bereiche des Unternehmens. In der Fachsprache spricht man von Schutzbedarfsfeststellung (auch Sicherheitsbedarfsanalyse genannt). Darunter versteht man den systematischen Prozess, den erforderlichen Grad an Schutz für bestimmte Assets, Prozesse oder Unternehmensbereiche zu ermitteln. Mit anderen Worten: Durch die Schutzbedarfsfeststellung wird bestimmt, welche Bereiche oder Objekte erhöhte Sicherheitsmaßnahmen erfordern und wo Standardmaßnahmen ausreichen*. Sie beantwortet z. B. Fragen wie: Welche Gebäude und Anlagen sind so kritisch für den Geschäftsbetrieb, dass ihr Ausfall existenzbedrohend wäre? Welche Informationen oder IT-Systeme sind so sensibel, dass ein maximaler Schutz vor unbefugtem Zugriff nötig ist? Wo bestehen für Menschen besondere Gefährdungen, die über normale Arbeitsschutzstandards hinausgehende Maßnahmen verlangen?

• Die Schutzbedarfsfeststellung bildet den Grundstein jedes Sicherheitskonzepts. Indem sie die Wertigkeit bzw. Kritikalität der Schutzgüter aus Sicht möglicher Schadensauswirkungen bestimmt, schafft sie eine objektive Basis für alle weiteren Schritte. Beispielsweise könnte ein Unternehmen feststellen, dass ein bestimmtes Produktionsgebäude einen hohen Schutzbedarf hat, weil ein Totalausfall zu Millionenverlusten und langen Lieferunterbrechungen führen würde – demgegenüber hat ein Archivgebäude mit alten Akten eventuell nur geringen Schutzbedarf, sofern dort keine lebenswichtigen Funktionen angesiedelt sind.

• Vorgehen bei der Schutzbedarfsanalyse: In der Praxis beginnt man typischerweise mit der Identifikation der Schutzgüter (auch Assets genannt). Das können materielle Güter sein (Gebäude, Maschinen, Lagerbestände), immaterielle Werte (Datenbanken, Geschäftsgeheimnisse, Reputation) oder Prozesse/Dienstleistungen. Für jedes dieser Güter wird analysiert, welche Sicherheitsvorfälle möglich sind (z. B. Diebstahl, Sabotage, Zerstörung, Spionage, Unfall) und welche Auswirkungen dies hätte. Ein bewährter Ansatz ist es, das Schadensausmaß qualitativ oder quantitativ zu bewerten – beispielsweise in Kategorien wie gering, mittel, hoch, sehr hoch. Kriterien dafür sind u. a. finanzielle Schadenhöhe, Auswirkungen auf Menschen (Verletzungen, mögliche Todesfälle), Unterbrechungsdauer für Geschäftsprozesse, rechtliche Konsequenzen, Umweltschäden etc. Parallel wird häufig die Eintrittswahrscheinlichkeit solcher Vorfälle betrachtet. Während dies schon zur eigentlichen Risikobewertung überleitet, bleibt die Schutzbedarfsfeststellung oft zunächst auf den Schadenfokus: Wie kritisch ist das Gut an sich?

• Kategorisierung des Schutzbedarfs: Üblich ist es, Schutzbedarfsstufen festzulegen (z. B. niedrig, normal, hoch, sehr hoch), oft mit konkreten Definitionen. So kann zum Beispiel gelten: Hoch – Ausfall hätte erhebliche finanzielle Verluste zur Folge und gefährdet die Existenz eines Unternehmensbereichs; Normal – spürbare, aber handhabbare Auswirkungen; Gering – kaum merkliche Auswirkungen. Diese Klassifizierung macht die Ergebnisse nachvollziehbar und kommunizierbar. Sie erlaubt es dem Management, nachvollziehbare Entscheidungen zu treffen, wie viel Schutz einzelne Objekte benötigen, um angemessene Sicherheitsmaßnahmen abzuleiten. Bereiche mit erhöhtem Schutzbedarf erhalten dann konsequenterweise verstärkte Sicherungsmaßnahmen, während für weniger kritische Bereiche Standardmaßnahmen genügen. So wird vermieden, „mit Kanonen auf Spatzen zu schießen“ – oder umgekehrt kritische Risiken zu unterschätzen. Eine gute Schutzbedarfsanalyse sorgt also für ein ausgewogenes Verhältnis: Sie verhindert sowohl übertriebene Sicherheitsmaßnahmen an unwichtigen Stellen als auch eine Vernachlässigung der wirklich kritischen Punkte.

• Schutzbedarf als Teil des Risikomanagements: Die Schutzbedarfsfeststellung ist eng verzahnt mit der Risikobewertung. Oft fließt sie direkt in die Risikoanalyse ein, indem sie hilft, die Prioritäten zu setzen. Denn nur wer die möglichen Auswirkungen von Sicherheitsvorfällen realistisch bewertet hat, kann danach Risiken richtig priorisieren. In der Folge entscheidet man z. B., dass Risiken, die ein Schutzgut mit hohem Schutzbedarf betreffen, vorrangig behandelt werden. Insofern leistet die Schutzbedarfsanalyse einen entscheidenden Beitrag zur Effizienz des Risikomanagements – sie lenkt die Ressourcen auf die wichtigsten Güter. Außerdem ist sie eine dynamische Größe: Der Schutzbedarf sollte regelmäßig überprüft und bei Bedarf angepasst werden. Ändern sich Geschäftsprozesse, kommen neue Technologien hinzu oder verschiebt sich die Bedrohungslage (etwa durch neue Formen von Angriffen), so muss auch der eingeschätzte Schutzbedarf aktualisiert werden. Unternehmen sollten die Schutzbedarfsfeststellung als „lebendes“ Instrument verstehen, das kontinuierlich gepflegt wird, um rechtlich compliant, organisatorisch vorbereitet und praktisch resilient zu bleiben.

• Regulatorische Anforderungen: Interessanterweise fordern immer mehr Normen und Gesetze implizit oder explizit eine Schutzbedarfsanalyse. Im IT-Sicherheitsgesetz 2.0 und den dazugehörigen Verordnungen für Kritische Infrastrukturen (KRITIS) etwa wird verlangt, dass Sicherheitsvorkehrungen „angemessen“ und „Stand der Technik“ sind – was voraussetzt, dass man den Schutzbedarf der jeweiligen Anlage kennt, um die Verhältnismäßigkeit der Maßnahmen beurteilen zu können. Gemäß § 8a BSIG (BSI-Gesetz) dürfen die eingesetzten Sicherheitsmaßnahmen nicht außer Verhältnis zum möglichen Schadenseintritt stehen. Hier spiegelt sich direkt die Idee der Schutzbedarfsfeststellung wider: Investitionen in Sicherheit sollen dem potenziellen Schaden angemessen sein. Auch die DSGVO (Datenschutz-Grundverordnung) fordert in Art. 32, dass Unternehmen ein dem Risiko angemessenes Schutzniveau gewährleisten – je höher das potentielle Schadensausmaß für die Rechte und Freiheiten der Betroffenen, desto umfangreichere technisch-organisatorische Maßnahmen (TOM) sind nötig. Praktisch heißt das, dass z. B. besonders sensible personenbezogene Daten (etwa Gesundheitsdaten) einen hohen Schutzbedarf haben und entsprechend durch stärkere Zugriffskontrollen, Verschlüsselung, Backup-Konzepte etc. geschützt werden müssen. Unternehmen, die systematisch Schutzbedarfe feststellen, sind klar im Vorteil, um solche Anforderungen zu erfüllen und nachzuweisen.

• Insgesamt lässt sich festhalten, dass die Sicherheitsbedarfsanalyse ein fundamentaler methodischer Schritt im Sicherheitsmanagement ist. Sie schafft Klarheit darüber, was wir besonders schützen müssen und wie sehr. Dadurch wird der Ressourceneinsatz im Sicherheitsmanagement effizient gestaltet – die teuren und aufwändigen Maßnahmen werden dort konzentriert, wo es wirklich darauf ankommt, während in weniger kritischen Bereichen einfacherere Schutzvorkehrungen ausreichend sein können. So verfolgt die Schutzbedarfsfeststellung das Ziel, ein den Risiken angemessenes Schutzniveau festzulegen und die vorhandenen Ressourcen effizient einzusetzen. In Zeiten steigender Bedrohungen und wachsender Compliance-Anforderungen wird dieser Ansatz immer wichtiger. Neue Regularien fordern solche Analysen zunehmend ein, und moderne Technologien (z. B. Tools für Asset-Management und Risk Scoring) unterstützen ihre Durchführung. Für Führungskräfte im Facility Management bedeutet dies, dass sie ein klares Verständnis davon haben müssen, welche Teile ihrer Infrastruktur und Organisation kritisch sind – um darauf aufbauend begründete Entscheidungen für oder gegen Sicherheitsinvestitionen zu treffen.

Die Risikobewertung ist das Herzstück des Risikomanagement-Prozesses. Sie liefert die Entscheidungsgrundlage dafür, welche Risiken vorrangig behandelt werden müssen und welche weniger kritisch sind. Methodisch umfasst die Risikobewertung mehrere Schritte: Risiko-Identifikation, Risiko-Analyse und Risiko-Bewertung im engeren Sinne (Priorisierung). Ergänzt wird dies durch laufende Risikokommunikation und Überwachung. Im Kontext von Sicherheitsrisiken im Facility Management kommen hier sowohl qualitative als auch quantitative Ansätze zum Tragen.

• Risikomanagement-Prozess (Überblick): Nach gängiger Lehre – etwa gemäß ISO 31000 oder vielen Unternehmensstandards – läuft der Prozess iterativ in folgenden Phasen ab

• Risikoidentifikation: Systematisches Erfassen aller potenziellen Risiken. Hier werden Methoden wie Brainstorming, Checklisten, Szenario-Analyse, Inspektionen oder historisches Datenmaterial eingesetzt. Im Facility Management könnten z. B. Gefährdungsbegehungen in Gebäuden, Interviews mit Haustechnikern und eine Auswertung vergangener Störfälle erfolgen, um eine Risiko-Inventarliste zu erstellen.

• Risikoanalyse: Für jedes identifizierte Risiko werden die relevanten Parameter bestimmt – typischerweise Eintrittswahrscheinlichkeit und potenzielle Schadenshöhe. Qualitative Einschätzungen stützen sich auf Expertenwissen (z. B. „hoch“, „mittel“, „niedrig“), während quantitative Analysen versuchen, numerische Werte (z. B. statistische Eintrittswahrscheinlichkeiten, Euro-Beträge an Schaden) zu ermitteln. Oft werden Einflussfaktoren und Ursachen betrachtet sowie bestehende Kontrollen (Controls), die das Risiko bereits mindern.

• Risikobewertung (Priorisierung): Die analysierten Risiken werden miteinander verglichen und in eine Rangfolge gebracht. Üblich ist hier die Verwendung von Risikomatrizen, in denen z. B. die Eintrittswahrscheinlichkeit auf einer Achse und das Schadensausmaß auf der anderen abgetragen sind. Aus der Kombination ergibt sich eine Risikoklasse (z. B. rot = hoch, gelb = mittel, grün = niedrig). Man spricht auch vom Risikoniveau. Durch diese Einstufung können Unternehmen entscheiden, welche Risiken untragbar oder inakzeptabel sind – diese müssen prioritär behandelt werden – und welche Risiken innerhalb der Risikotoleranz liegen. Die Risikobewertung orientiert sich an zuvor festgelegten Risikokriterien (z. B. Schwellenwerte, ab welcher Verlusthöhe ein Risiko als kritisch gilt). Im Ergebnis erhält man eine priorisierte Liste: ganz oben jene Risiken, die am dringendsten adressiert werden müssen. In der Praxis werden Risiken gemäß der Risikobereitschaft des Unternehmens eingeordnet und dann entsprechend behandelt. Dadurch wird sichergestellt, dass Ressourcen auf die wichtigsten Risiken gelenkt werden.

• Risikobehandlung (Risikosteuerung): Dies entspricht der oben beschriebenen Auswahl von Risikostrategien (vermeiden, vermindern, transferieren, akzeptieren). Für jedes priorisierte Risiko wird eine oder mehrere Maßnahmen ausgewählt und umgesetzt, um es auf ein akzeptables Niveau zu bringen. Hier fließen Kosten-Nutzen-Abwägungen ein und es wird ein Behandlungsplan erstellt.

• Risikokommunikation und Überwachung: Über den gesamten Prozess hinweg ist es wichtig, die relevanten Stakeholder angemessen zu informieren und einzubeziehen. Ergebnisse der Risikoanalyse sollten an die Geschäftsführung und betroffene Abteilungen berichtet werden, damit ein gemeinsames Verständnis entsteht. Die Wirksamkeit der umgesetzten Maßnahmen wird kontinuierlich überwacht (z. B. durch Kennzahlen oder Audits), und der Risikoprozess wird regelmäßig durchlaufen, um neue Risiken zu erkennen oder Änderungen zu berücksichtigen.

• Qualitative vs. quantitative Methoden: In der Sicherheits- und FM-Praxis dominieren oft qualitative Risikobewertungen, da viele Risiken (wie z. B. Terroranschläge, extreme Wetterereignisse, Insiderkriminalität) schwer in Zahlen zu fassen sind. Man arbeitet dann mit Experteneinschätzungen und Kategorien. Beispiel: Die Leitungsebene schätzt mit dem Sicherheitsbeauftragten ein, dass das Risiko „Stromausfall am Hauptstandort länger als 1 Tag“ mittel wahrscheinlich und der Schaden sehr hoch wäre – dies könnte im Ampelsystem als hohes Risiko (rot) qualifizieren, demnach hohe Priorität. Quantitative Methoden versuchen demgegenüber, objektivere Maßstäbe anzulegen, etwa durch statistische Häufigkeiten (z. B. „alle 10 Jahre 50% Wahrscheinlichkeit“) und finanzielle Erwartungswerte (z. B. Value at Risk). Im Facility Management lassen sich manche Daten nutzen (etwa Störstatistiken von Anlagen, Schadenssummen aus Versicherungsfällen), doch bleibt oft eine Unschärfe. Daher werden häufig Kombinationen genutzt: qualitativ für eine erste Breiteinschätzung und quantitativ für ausgewählte Top-Risiken, wo Daten vorliegen.

• Priorisierung in der Praxis: Ein weit verbreitetes Werkzeug ist die Risikomatrix (Wahrscheinlichkeit vs. Auswirkung). Beispielsweise könnte ein Unternehmen festlegen: „Rot“ (intolerabel) sind alle Risiken mit hoher Wahrscheinlichkeit und hoher Auswirkung sowie sehr hoher Auswirkung bei zumindest mittlerer Wahrscheinlichkeit; „Gelb“ (mittleres Risiko) sind Fälle mit Kombination hoch x niedrig oder mittel x mittel usw.; „Grün“ (niedrig) sind niedrige Kombinationen. Diese Matrix macht das abstrakte Risikoprofil visuell greifbar für Entscheidungsträger. So wird sofort erkennbar, welche „roten“ Felder zuerst angegangen werden müssen.

• Risikobewertung im Facility Management: Typische hohe Risiken sind – wie zuvor erörtert – technischer Betriebsstillstand, Brände, Unfälle, kriminelle Handlungen etc. Die Bewertung muss hier unterschiedliche Dimensionen berücksichtigen: Ein Brand kann Menschenleben gefährden (höchste Priorität aus Sicht Personenschutz) und enorme Sachschäden verursachen; ein Diebstahl durch Mitarbeiter betrifft primär materielle Werte oder vertrauliche Informationen, kann aber häufig über Versicherungen abgedeckt werden; ein mehrstündiger Stromausfall kann je nach Branche verkraftbar oder existenzbedrohend sein (für einen Rechenzentrums-Betreiber z. B. katastrophal). Daher fließen in die Bewertung im FM-Kontext sowohl Sicherheits- als auch Betriebsaspekte ein. Man bewertet nicht nur direkte Schäden, sondern auch Folgewirkungen auf die Betriebsabläufe und Lieferketten.

• Ein wichtiges Prinzip ist die individuelle Priorisierung nach Kontext: Jedes Unternehmen bewertet Risiken anders und jeder Sektor hat andere Schwerpunkte. In der Gesundheitsbranche etwa haben Patientensicherheit und Ausfallsicherheit von Lebenserhaltungssystemen oberste Priorität; in der Industrie stehen Arbeitsschutz und Vermeidung von Umweltschäden (Störfälle) im Vordergrund; in einem Bürogebäudemanagement sind dafür Aspekte wie Datensicherheit und Evakuierungskonzepte prominenter.

• Herausforderungen: Ein häufiges Problem bei der Risikobewertung ist die korrekte Einschätzung seltener, extremer Ereignisse. Menschen neigen dazu, sehr unwahrscheinliche Risiken zu unterschätzen oder zu überschätzen – je nachdem, ob Erfahrungswerte fehlen oder spektakuläre Beispiele in Medien präsent sind. Hier hilft es, mit Szenarien und Expertenwissen zu arbeiten und ggf. externe Benchmarks heranzuziehen (z. B. Erkenntnisse aus Branchenverbänden oder Versicherungsanalysen). Ein weiteres Thema ist die Abhängigkeit zwischen Risiken: Oft sind Risiken verknüpft (z. B. ein Cyberangriff kann physischen Anlagenstillstand verursachen, ein Brand kann Datenschutzrisiken triggern, wenn Akten vernichtet werden etc.). Solche Kaskaden sollten in der Analyse berücksichtigt werden.

• Ergebnis der Risikobewertung: Letztlich mündet die methodische Bewertung in klar priorisierten Handlungsempfehlungen. Das Management erhält die Information: „Dies sind unsere Top-5-Risiken, mit diesen potenziellen Schäden, diese Eintrittswahrscheinlichkeit, und wir empfehlen folgende Maßnahmen...“ Durch die strukturierte Vorgehensweise wird eine transparente Entscheidungsgrundlage geschaffen. Die Risiken werden nicht mehr vage „nach Bauchgefühl“ gemanagt, sondern auf Basis nachvollziehbarer Kriterien. Dies erleichtert es auch, gegenüber Dritten (z. B. Aufsichtsbehörden, Auditoren oder Versicherern) darzulegen, warum man welche Maßnahmen ergriffen hat oder auch bewusst unterlassen hat. Wie schon erwähnt, verlangen etwa Versicherungsunternehmen oft Einblicke ins Risikomanagement und honorieren systematisches Vorgehen mit günstigeren Prämien, während unkalkulierte Risiken zu höheren Kosten führen können.

Die besten Analysen und Strategien nützen wenig, wenn sie nicht in konkrete Richtlinien und Maßnahmen überführt werden. Die Implementierung ist der Schritt, in dem Papierpläne in gelebte Unternehmenspraxis verwandelt werden. Im Bereich Unternehmenssicherheit fallen hierunter vor allem: Sicherheitsrichtlinien, Notfall- und Krisenpläne sowie Maßnahmen zur Aufrechterhaltung der Betriebs- bzw. Geschäftskontinuität.

Sicherheitsrichtlinien (Policies): Sicherheitsrichtlinien sind verbindliche Vorgabedokumente, die festlegen, wer was wie zu tun hat, um Sicherheit zu gewährleisten. Sie übersetzen die Risikostrategie und Sicherheitsziele in konkrete Verhaltensregeln und Prozesse. Beispiele für solche Policies sind: Zugangskontroll-Richtlinien (wer darf in welche Bereiche, wie werden Besucher gemanagt), IT-Sicherheitsrichtlinien (Passwortvorgaben, Umgang mit USB-Geräten, VPN-Nutzung etc.), Richtlinien zur Nutzung von Schließanlagen, Alarmierungsrichtlinien oder Richtlinien für den Umgang mit vertraulichen Informationen. Im Facility Management können auch sehr konkrete Dokumente dazugehören, z. B. eine Dienstanweisung für den Wachdienst, Betriebsvorschriften für sicherheitsrelevante Anlagen (wie Sprinkler oder Notstrom), oder eine Compliance-Richtlinie zur Zusammenarbeit mit Sicherheitsdienstleistern.

Die Herausforderung bei Richtlinien ist, sie praxisnah und verständlich zu formulieren, damit sie von den Mitarbeitern akzeptiert und befolgt werden. Eine gute Richtlinie definiert klare Verantwortlichkeiten (z. B. „Der Sicherheitsbeauftragte erstellt jährlich einen Bericht…“), Abläufe (z. B. „Bei Verlust eines Schlüssels ist sofort XYZ zu informieren“) und Sanktionen bei Verstößen, soweit relevant. Für die Wirksamkeit ist entscheidend, dass die Führung die Richtlinien stützt und sie in die Unternehmenskultur eingebettet werden. Schulungen und regelmäßige Kommunikation (z. B. Sicherheitshinweise im Intranet, Aushänge) begleiten die Einführung. Zudem sollten Richtlinien regelmäßig überprüft werden – passen sie noch zur aktuellen Risikolage und gesetzlichen Vorgaben? Ein typischer Fehler ist es, Richtlinien zu erstellen und dann jahrelang unverändert liegen zu lassen, während sich Umfeld und Technologien ändern. Ein integriertes Managementsystem (z. B. nach ISO 27001 für Informationssicherheit oder ISO 45001 für Arbeitsschutz) fordert daher auch, Policies aktuell zu halten und ihre Einhaltung intern zu auditieren.

• Notfall- und Krisenmanagement: Trotz aller Prävention muss man darauf vorbereitet sein, dass Störfälle und Krisen eintreten können. Zwei wichtige Instrumente sind hier Notfallpläne und Krisenmanagement-Prozesse.

• Notfallpläne (Emergency Plans) beziehen sich meist auf konkrete Szenarien oder Gefahren. Sie enthalten Anweisungen, was im Falle eines bestimmten Ereignisses zu tun ist. Klassische Beispiele: Evakuierungsplan bei Feueralarm (inkl. Sammelplätze, Verantwortliche für Bereiche, Feuerwehranruf), IT-Notfallplan bei Serverausfall oder Cyberangriff (inkl. Disconnect vom Netz, Aktivierung von Backup-Systemen, Incident Response Team informieren), Notfallplan für technische Störungen (z. B. Ausfall der Kälteanlage – Maßnahmen: Notkühlung anfordern, empfindliche Geräte herunterfahren, Techniker verständigen). Auch ein Pandemieplan (was tun bei hohem Personalausfall, Hygieneregeln etc.) gehört in diese Kategorie. Notfallpläne sind oft als Checklisten oder Ablaufdiagramme gestaltet, um in der Stresssituation rasch handeln zu können. Sie sollten kompakt, zugänglich (auch physisch verfügbar, falls IT ausfällt) und eingeübt sein.

• Krisenmanagement bezieht sich auf die organisatorische Bewältigung von größeren, komplexen Lagen, die über den „technischen“ Notfall hinausgehen. Hier geht es um die Einrichtung eines Krisenstabs, der aus Führungskräften und Experten besteht und im Ernstfall die Gesamtkoordination übernimmt. Der Krisenstab arbeitet nach einem vorbereiteten Krisenhandbuch, das Rollen (Krisenstableiter, Kommunikationsmanager, etc.), Kommunikationswege und Entscheidungsprozesse beschreibt. Er tritt bei Ereignissen zusammen, die eine erhebliche Unternehmensgefährdung darstellen (z. B. Großbrand, Terrorlage, schwerer IT-Security-Breach, Erpressungsfall). Wichtige Aufgaben sind dann: Lagebewertung, Prioritätensetzung (Schutz von Menschenleben immer zuerst), Informationsmanagement (laufend Fakten sammeln), interne und externe Kommunikation (Mitarbeiter informieren, ggf. Pressearbeit, Behördenkontakt), Entscheidungen zu Betriebsunterbrechungen oder -verlagerungen usw. Ein gutes Krisenmanagement zeichnet sich dadurch aus, dass es trainiert ist – d.h. durch Übungen erprobt – und dass klare Schnittstellen zu den operativen Notfallmaßnahmen bestehen. Beispielsweise speist der Einsatzleiter vor Ort (etwa der Leiter Werksschutz bei einer Evakuierung) Informationen in den Krisenstab, und umgekehrt gibt der Krisenstab strategische Anweisungen zurück (z. B. „Produktion in Halle X vorerst einstellen, Mitarbeiter nach Hause schicken“).

• Betriebskontinuität (Business Continuity): Maßnahmen zur Betriebskontinuität zielen darauf ab, die wesentlichen Geschäftsprozesse trotz eines gravierenden Vorfalls weiterführen oder baldmöglichst wiederaufnehmen zu können. Während Notfallpläne oft die erste Reaktion (Stunden/Tag 1) abdecken, beschäftigt sich Business Continuity Planning mit der Überbrückung von längeren Ausfällen und der Wiederherstellung des Normalbetriebs. Ein Business Continuity Management System (BCMS) gemäß ISO 22301 ist hierbei ein strukturierter Ansatz, der folgende Kernfragen beantwortet: Welche Geschäftsprozesse sind kritisch? Welche Ressourcen (Personal, IT, Infrastruktur, Lieferanten) brauchen diese Prozesse? Was ist der maximal tolerierbare Ausfall? Und welche Vorsorge treffen wir, um diese Prozesse im Notfall aufrechtzuerhalten?. Konkret gehören zu den Continuity-Maßnahmen z. B.: Einrichtung von Ersatzstandorten oder Ausweichräumen (falls ein Gebäude unbenutzbar ist, etwa nach Feuer oder Evakuierung), Backup-Systeme in der IT (Datenreplikation an zweiten Standort, Cloud-Systeme), Notfall-Arbeitsplätze für Mitarbeitende (Home-Office-Lösungen bei Pandemien oder wenn Büro ausfällt), Absprachen mit Ersatzlieferanten (wenn ein Lieferant ausfällt), Lagerhaltung von kritischen Materialien, Notstromversorgung für definierte Zeit X, etc. All dies wird in einem Business Continuity Plan (Geschäftskontinuitätsplan) festgehalten, der im Krisenfall greift.

• Das Ziel ist, die wichtigsten Betriebsabläufe vor Totalausfall zu schützen und im Ernstfall schnell wieder aufnehmen zu können. Damit sichert BCM die Existenz des Unternehmens – besonders auch im Mittelstand, wo oft geringere Reserven vorhanden sind und ein einzelner längerer Stillstand zur Insolvenz führen könnte. Ein implementiertes BCMS verbessert die organisatorische Resilienz erheblich. Unternehmen, die BCM ernsthaft betreiben, legen im Vorfeld fest, was im Ernstfall zu tun ist, beispielsweise bei einem Hackerangriff oder einer Naturkatastrophe, und stärken damit ihre Krisenfestigkeit. Normen wie ISO 22301 bieten hierfür einen international anerkannten Rahmen und Anforderungen (z. B. regelmäßige Business Impact Analysen, definierte Wiederanlaufzeiten etc.), an denen man sich orientieren kann.

• Implementierungsschritte: Die Einführung von Notfall- und Continuity-Maßnahmen erfolgt oft in Projekten. Zunächst müssen die genannten Pläne und Konzepte erstellt werden (ggf. mit externer Beratung oder nach Leitfäden). Es folgt die technische und organisatorische Umsetzung: Beschaffung von Ausstattung (z. B. Notfallkoffer, Satellitentelefon, Backup-Generator), Abschlüsse von Dienstleistungsverträgen (z. B. mit Notfall-Dienstleistern, Alternativ-Rechenzentren), Einrichtung von Krisenräumen etc. Parallel ist es wesentlich, die Mitarbeiter zu schulen. Ein Notfallplan nützt nichts, wenn im Ernstfall niemand weiß, was er zu tun hat. Daher sind Schulungen und Übungen integraler Bestandteil der Implementierung. Viele Unternehmen führen jährliche Notfallübungen (Feueralarm mit Evakuierung) durch, Probeläufe für IT-Notfälle oder Tischübungen für den Krisenstab. Dabei werden auch die Pläne auf Praxistauglichkeit getestet und anschließend verbessert.

• Verbindung von Security, Notfall und Continuity: In der Realität greifen die genannten Elemente ineinander. Ein Beispiel: Ein Cyberangriff (Security-Inzident) führt zum Ausfall der IT-Systeme (IT-Notfall) – die erste Reaktion erfolgt nach dem IT-Notfallplan (Incident Response, Systeme isolieren, Forensikteam einbinden), gleichzeitig tritt der Krisenstab zusammen, da eine erhebliche Störung vorliegt (Krisenmanagement), und man aktiviert den Business Continuity Plan, um Kernprozesse auf Ausweichlösungen umzustellen (Betriebskontinuität). Dieser Ablauf zeigt, dass Sicherheitsmanagement, Notfallmanagement und BCM im Idealfall nahtlos verzahnt sind. Unternehmen, die all diese Disziplinen systematisch aufgestellt haben, erfüllen damit auch viele gesetzliche Vorgaben: Geschäftsführungen kommen ihren Sorgfaltspflichten nach, die Anforderungen aus HGB, DSGVO oder branchenspezifischen Normen (z. B. NIS2 für IT-Resilienz) werden erfüllt, und gleichzeitig erhöht sich die Chance, einen schweren Vorfall ohne dauerhaften Schaden zu überstehen. Moderne Managementsysteme integrieren daher ISMS (Informationssicherheits-Management), Notfall- und Kontinuitätsmanagement eng miteinander. So fordert z. B. die ISO 27001 (ISMS-Norm) in Anhang A auch die Entwicklung von Notfallplänen und Disaster-Recovery-Strategien als Teil der Informationssicherheit. ISO 22301 wiederum verweist auf die Notwendigkeit, mit technischen und organisatorischen Maßnahmen auf „störende Ereignisse“ vorbereitet zu sein.

• Erfüllung von Normen und Steigerung des Vertrauens: Die Implementierung dieser Elemente hat auch den Vorteil, gegenüber Stakeholdern Vertrauen zu schaffen. Ein zertifiziertes BCM-System nach ISO 22301 oder ein nachgewiesenes Notfallmanagement steigert das Image bei Kunden, Partnern und Versicherern. In manchen Branchen oder öffentlichen Ausschreibungen werden solche Nachweise inzwischen verlangt. So ist zum Beispiel ohne ein aktives BCM der Abschluss einer umfassenden Cyberversicherung kaum möglich – Versicherer erwarten, dass ein Unternehmen vorgesorgt hat. Auch interne Kontrollinstanzen (Aufsichtsrat, Audit) und Behörden (z. B. Finanzaufsicht bei Banken) achten vermehrt auf das Vorhandensein von Notfall- und Continuity-Plänen.

• Fazit zur Implementierung: Für Führungskräfte im Facility Management bedeutet die Umsetzung von Sicherheitsrichtlinien und Notfallvorsorge, einen organisatorischen Rahmen zu schaffen, in dem Sicherheit tatsächlich gelebt wird. Es reicht nicht, Regeln aufzustellen – man muss auch dafür sorgen, dass sie bekannt sind und befolgt werden. Notfall- und BCM-Konzepte müssen regelmäßig geübt und aktualisiert werden, damit sie im Ernstfall funktionieren. Hier zahlt sich akribische Vorbereitung aus: Jedes investierte Planungsdetail (z. B. redundante Kommunikationswege, aktualisierte Telefonlisten, Alternativlieferanten) kann im Krisenfall Stunden oder Tage an Reaktionszeit sparen – und damit möglicherweise die Existenz des Unternehmens retten. Die Implementierung dieser Maßnahmen ist keine einmalige Aufgabe, sondern ein kontinuierlicher Verbesserungsprozess. Sie sollte zudem eng mit Compliance verknüpft sein: Viele der genannten Pläne und Richtlinien helfen, gesetzliche Vorgaben zu erfüllen, von Arbeitsschutzgesetzen über Datenschutz bis hin zu branchenspezifischen Sicherheitsstandards. Somit schlagen gut implementierte Sicherheits- und Continuity-Maßnahmen eine Brücke zwischen operativer Resilienz und rechtlicher Absicherung, was letztlich die Gesamtposition des Unternehmens stärkt.

• In einer zunehmend digitalisierten Welt wachsen physische Sicherheit und Cyber-Security untrennbar zusammen. Unternehmen müssen heute ganzheitliche Sicherheitsstrategien verfolgen, die sowohl klassische physische Bedrohungen als auch Gefahren aus dem Cyberraum berücksichtigen – und vor allem deren Zusammenwirken. Im Facility Management zeigt sich dies z. B. daran, dass Gebäudeleittechnik, Zutrittssysteme oder Überwachungskameras oft IT-gestützte Systeme sind, die selbst Ziel von Cyberangriffen sein können. Ebenso können Hackerangriffe physische Auswirkungen haben (etwa wenn durch einen Cyberangriff die Klimatisierung ausfällt und ein Rechenzentrum überhitzt).

• Status Quo und Lücken: Während Cybersecurity in aller Munde ist, wird die physische Sicherheit von Unternehmen – Gebäude, Produktionsstätten, Verwaltungsstandorte – oft vernachlässigt oder als weniger dringlich erachtet. Viele Sicherheitsstrategien konzentrieren sich auf IT-Risiken, enthalten jedoch Lücken bei Gefahren wie Einbruch, Sabotage oder Naturkatastrophen. Dieser isolierte Blick kann fatal sein: Ein Unternehmen mag exzellente Firewalls haben, aber wenn ein Täter sich physisch Zutritt zum Serverraum verschafft, können Daten gestohlen oder zerstört werden. Umgekehrt kann ein Brand in der Produktion die schönste Cyberabwehr irrelevant machen, wenn keine Backups außerhalb des Brandortes vorhanden sind. Ein ganzheitliches Sicherheitskonzept mit Gefahrenmanagementsystem schließt solche Lücken, indem es die Belange von Gebäude- und IT-Sicherheit vereint. Das bedeutet praktisch: physische und digitale Schutzmaßnahmen werden aufeinander abgestimmt und zentral koordiniert.

• Synergien zwischen physischer und IT-Sicherheit: Moderne Sicherheitsmanagement-Systeme (SMS) integrieren häufig beide Welten. Beispielsweise können Zutrittskontrollsysteme mit der IT-Benutzerverwaltung gekoppelt sein – verlässt ein Mitarbeiter das Unternehmen, wird nicht nur sein IT-Login deaktiviert, sondern auch sein Gebäudebadge gesperrt. Ein Gefahrenmanagementsystem kann Brandmeldeanlagen, Videoüberwachung und IT-Sicherheitsalarme auf einer Plattform zusammenführen, sodass der Sicherheitsleitstand bei einem Alarm umfassende Informationen erhält (z. B. gleichzeitig Feueralarm und Ausfall der Videoüberwachung = Hinweis auf möglichen Sabotageakt). Auch das Konzept „Security Operations Center (SOC)“ wird teils erweitert zu „Hybrid-SOC“, wo physische und Cyber-Vorfälle gemeinsam überwacht werden.

• Menschliche Faktoren – Insider Threats: Eine Schnittstelle der besonderen Art zwischen Cyber und Physisch ist der Mensch. Innentäter oder Insider stellen ein Risiko dar, das beide Bereiche umfasst. Laut einer Bitkom-Studie zum Wirtschaftsschutz 2020 geht das größte Sicherheitsrisiko für Unternehmen sogar von ehemaligen Mitarbeitern (33 %) aus – noch vor der organisierten Kriminalität (21 %). Das zeigt, dass Gefahren oft aus den eigenen Reihen kommen. Mitarbeiter (oder Ex-Mitarbeiter) kennen Örtlichkeiten, Sicherheitslücken und haben möglicherweise Zugang zu Systemen. Sie könnten sowohl physischen Schaden anrichten (Diebstahl von Geräten, Sabotage von Maschinen) als auch IT-Schaden (Entwendung von Zugangsdaten, Einbringen von Malware). Ein solcher Fall überschreitet die traditionellen Abteilungsgrenzen – hier müssen HR (Offboarding-Prozesse), IT-Security (Account-Sperren, Logging) und physische Sicherheit (Zutrittsentzug, Wachschutz aufmerksam machen) Hand in Hand arbeiten. Dieses Beispiel betont, wie wichtig ein ganzheitlicher Präventionsansatz ist: Sicherheitsrichtlinien sollten daher immer auch Maßnahmen zur Reduktion von Insider-Risiken umfassen, z. B. strikte „Need-to-know“-Prinzipien bei Datenzugriff, Vier-Augen-Prinzip bei sensiblen Vorgängen, technische Überwachungen von auffälligen Aktivitäten und ein wertschätzendes Unternehmensklima, das potenziellen Frust abbaut.

• Cyber-physische Bedrohungen: Zunehmend gibt es Szenarien, in denen Cyberangriffe physische Sicherheitssysteme direkt betreffen. Unter dem Stichwort IoT-Security (Internet of Things) fällt die Gebäudetechnik in den Fokus: Zugangssysteme, Alarmanlagen, Aufzüge, Klimaanlagen, Beleuchtung – vieles ist heute vernetzt und oft nicht ausreichend gegen Angriffe geschützt. Hacker könnten z. B. Türsteuerungen manipulieren, um Zugang zu erhalten, Überwachungskameras ausschalten oder Sprinkleranlagen auslösen. Solche Ereignisse wären ein kombiniertes physisch-cyber Risiko. Die Konsequenz: Das Sicherheitsmanagement muss dafür sorgen, dass auch diese technischen Anlagen nach IT-Sicherheitskriterien geschützt werden (Stichwort: Security by Design bei Smart Building Technologie, Netzwerksegmentierung, regelmäßige Software-Updates/Patches für Gebäudeleitsysteme, etc.). Hier überschneiden sich Facility Management und IT-Security deutlich. Es ist empfehlenswert, regelmäßige gemeinsame Risiko-Workshops von FM-Verantwortlichen und IT-Sicherheitsexperten durchzuführen, um diese Cyber-Physical Risks zu identifizieren.

• Beispiel: Rechenzentrumssicherheit: Ein Rechenzentrum oder Serverraum ist ein klassischer Schnittpunkt: Physische Zugangssicherheit (Schlüsselkarten, Biometrie, Video) ist ebenso wichtig wie Firewalls und Zugriffsprotokolle. Ein Angreifer wird versuchen, den Weg des geringsten Widerstands zu gehen – sei es digital oder physisch. Daher sind hier kombinierte Schutzkonzepte nötig. Es gibt Fälle, in denen Unternehmen gut gegen Netz-Angriffe geschützt waren, aber ein Social-Engineering-Angriff (z. B. jemand gibt sich als Techniker aus und wird ins Gebäude gelassen) zum Datenleck führte. Um solche Geschichten zu vermeiden, müssen IT und Gebäudesicherheit eng kooperieren. Beispiele für Maßnahmen: gemeinsames Security Awareness Training für Mitarbeiter, das sowohl Phishing-Mails als auch das Erkennen unbefugter Personen abdeckt; abgestimmte Reaktionspläne, in denen etwa bei Verdacht auf physischen Eindringling auch IT-Seite alarmiert wird, um mögliche parallele Cyberattacken abzuwehren (und vice versa).

• Ganzheitliches Sicherheitskonzept: Letztlich läuft alles auf den Begriff Holistic Security hinaus – ein Ansatz, der organisatorisch oft bedeutet, dass es eine zentrale Stelle oder ein Gremium gibt, das sämtliche Sicherheitsaspekte überwacht. In manchen Unternehmen heißt dies Konzernsicherheit oder Corporate Security, wobei dort sowohl Physical Security, Informationssicherheit, Personenschutz, Reisesicherheit etc. zusammenlaufen. Diese Einheit entwickelt dann ein integriertes Sicherheitskonzept und berichtet an die Geschäftsleitung. So wird vermieden, dass in Silos gedacht wird. Gerade bei Gefahrenmanagementsystemen – also integrierten Alarm- und Steuerungssystemen – ist der Nutzen hoch: Sie verbinden Brandmelder, Einbruchsensorik, Zutritts- und IT-Überwachung. Ein solches System kann beispielsweise bei einem Einbruchversuch nicht nur Alarm schlagen, sondern automatisch bestimmte Türen verriegeln und die nächstgelegenen Kameras aufschalten.

• Ein Gefahrenmanagementsystem schließt die Lücken zwischen verschiedenen Gewerken, indem es alle Sensoren und Aktoren auf einer Plattform vereint. Die Belange von Gebäudesicherheit und IT-Sicherheit werden so technisch vereint – was natürlich voraussetzt, dass auch organisatorisch diese Bereiche abgestimmt sind.

• Resilienz durch integrierte Security: Die Berücksichtigung von Cybersecurity im Kontext der physischen Sicherheit erhöht die Resilienz des Unternehmens deutlich. Während früher vielleicht ein Brand oder Einbruch als höchstes Risiko galt, müssen heute parallel Cyberbedrohungen bedacht werden, die einen ähnlichen Schaden anrichten können (Datenverschlüsselung durch Ransomware legt Produktion lahm wie ein Brand es täte). Umgekehrt bedeuten klassische Risiken (Feuer, Stromausfall) auch Cyberrisiken (IT steht still, Datenverfügbarkeit gefährdet). Ein Unternehmen, das all diese Szenarien im Blick hat, wird robuster sein. Kritische Infrastrukturen z. B. haben aus diesem Grund gesetzliche Auflagen sowohl in physischer Sicherung (Schutz vor Sabotage vor Ort) als auch in IT-Sicherheit. Das IT-Sicherheitsgesetz 2.0 in Deutschland hat hier deutliche Verschärfungen gebracht, inklusive der Pflicht zum Einsatz von Systemen zur Angriffserkennung (Intrusion Detection) für KRITIS-Betreiber – diese überwachen sowohl Cyber-Angriffe als auch können untypische Zugriffe detektieren. Auch in NIS2 (der neuen EU-Richtlinie) wird explizit die Widerstandsfähigkeit technischer Systeme und physischer Komponenten gefordert.

• Fazit: Die Verzahnung von Cyber- und physischer Sicherheit ist ein Muss für moderne Sicherheitsstrategien. Führungskräfte im Facility Management sollten daher mit der IT-Sicherheitsabteilung kooperieren und gemeinsame Konzepte entwickeln. Ein isoliertes Betrachten („die IT kümmert sich um Hacker, wir uns um Einbrecher“) greift zu kurz. Vielmehr braucht es Crossover-Maßnahmen: Physische Sicherheitsvorfälle müssen auch unter dem Aspekt möglicher IT-Auswirkungen bewertet werden und umgekehrt. Ein schönes Sinnbild ist, dass ein Unternehmen zwar zwei Türen schützen muss – die reale und die virtuelle – aber beide Schlösser idealerweise vom selben Schlüsselbund (sprich Konzept) abgedeckt werden. Nur ein integratives Gefahrenmanagement gewährleistet, dass keine blinden Flecken entstehen und dass das Unternehmen umfassend geschützt ist.

• Gesetzliche Pflichten (Überblick): Je nach Branche und Größe des Unternehmens greifen unterschiedliche rechtliche Anforderungen

• Allgemeine Sorgfaltspflichten: Wie zuvor erwähnt, verpflichten z. B. das Handelsgesetzbuch (HGB) und das GmbH-Gesetz Geschäftsleiter zu ordnungsgemäßer, vorausschauender Unternehmensführung, was implizit auch Risikovorsorge einschließt. Das Ignorieren offensichtlicher Sicherheitsrisiken könnte als Pflichtverletzung gewertet werden (vgl. § 280 BGB). Auch Arbeitsschutzgesetze (ArbSchG) verlangen Gefährdungsbeurteilungen und Schutzmaßnahmen für Mitarbeiter – hier überschneiden sich Arbeitssicherheit und Unternehmenssicherheit.

• Datenschutz (DSGVO): Artikel 32 DSGVO fordert von Verantwortlichen technische und organisatorische Maßnahmen, um ein angemessenes Schutzniveau der personenbezogenen Daten zu gewährleisten, einschließlich Verfügbarkeit und Belastbarkeit der Systeme. Dazu gehört ausdrücklich auch die Fähigkeit, Daten nach Zwischenfällen rasch wiederherzustellen. Für das Sicherheitsmanagement bedeutet das: sowohl IT-Sicherheitsmaßnahmen implementieren (Zugriffsschutz, Verschlüsselung etc.) als auch Pläne für Notfälle vorhalten (Backups, Disaster Recovery). Verstöße gegen diese Vorgaben können zu hohen Bußgeldern führen.

• KRITIS und IT-Sicherheitsgesetz(e): Betreiber Kritischer Infrastrukturen (KRITIS) – z. B. in den Sektoren Energie, Wasser, Gesundheit, Telekommunikation, Transport, Finanzwesen – unterliegen in Deutschland besonderen Pflichten gem. BSI-Gesetz und IT-Sicherheitsgesetz 2.0. Sie müssen angemessene organisatorische und technische Vorkehrungen treffen, um Ausfälle ihrer kritischen Dienste zu vermeiden, und dies alle zwei Jahre gegenüber dem BSI nachweisen. Neu eingeführt wurde die Pflicht, Systeme zur Angriffserkennung (z. B. Intrusion Detection/SIEM) zu betreiben. Zudem gibt es Meldepflichten bei erheblichen IT-Störungen. Bei Verstößen drohen Bußgelder bis zu 500.000 €. Diese Regelungen betreffen nicht nur rein „IT-lastige“ Betriebe, sondern beispielsweise auch Krankenhäuser, die Versorgungsunternehmen, oder große Rechenzentren. Auch das neue Konzept der „Unternehmen im besonderen öffentlichen Interesse“ (UBI) erweitert den Kreis der Firmen mit erhöhten Sicherheitsauflagen. Unternehmen im FM-Bereich sollten prüfen, ob sie selbst oder ihre Kunden unter diese Kategorien fallen, da dies die Sicherheitsanforderungen stark prägt.

• Arbeitssicherheits- und Brandschutzvorschriften: Hierunter fallen z. B. die Arbeitsstättenverordnung, Betriebssicherheitsverordnung, Landesbauordnungen mit Brandschutzvorschriften, VdS-Richtlinien für Brandschutz (die teils von Sachversicherern verlangt werden), Versammlungsstättenverordnungen (für Gebäude mit Publikumsverkehr) usw. Diese legen teils sehr konkrete Maßnahmen fest (z. B. Zahl und Platzierung von Feuerlöschern, Anforderungen an Notausgänge, regelmäßige Prüfungen von Anlagen). Die Einhaltung dieser Vorschriften ist Pflicht und wird von Aufsichtsbehörden kontrolliert; Zuwiderhandlungen können zu Betriebsuntersagungen oder Strafen führen.

• Branchenspezifische Gesetze: Etwa das Luftsicherheitsgesetz für Flughäfen (mit Anforderungen an Zugangskontrollen und Personalüberprüfungen), das Atomgesetz und Strahlenschutzverordnung für Nuklearanlagen (extrem hohe Sicherheitsauflagen), oder im Finanzsektor die BAIT/VAIT (Bankenaufsichtliche Anforderungen an die IT, die auch Informationssicherheit umfassen). Im Gesundheitswesen existieren z. B. das Patientendatenschutzgesetz und spezielle Hygienevorschriften, die Sicherheitsaspekte (z. B. Zugang zu Laboren) betreffen.

• Normen und Standards: Auf freiwilliger bzw. marktüblicher Basis haben sich zahlreiche internationale Standards etabliert, die Best Practices codifizieren und oft als Zertifizierungsgrundlage dienen

• DIN EN ISO 31000 (Risikomanagement – Leitlinien): Diese Norm (in der deutschen Fassung DIN ISO 31000:2018) bietet einen Rahmen für das Risikomanagement. Sie definiert Grundprinzipien (z. B. Wertschaffung, Integriertheit, Strukturiertheit), ein Organisationsrahmen und einen generischen Prozess für den Umgang mit Risiken. Ein zentrales Thema der Norm ist die Integration von Risikomanagement in alle Prozesse der Organisation sowie die Abkehr von isoliertem Risikodenken und bloßem nachträglichen Reporting. Obwohl ISO 31000 keine Zertifizierung ermöglicht (da Leitliniendokument), dient sie vielen Unternehmen als Orientierung, um das eigene Risikomanagementsystem aufzubauen oder zu evaluieren. Für das Sicherheitsmanagement bedeutet ISO 31000 vor allem die Botschaft, es als Teil der Gesamtführungsaufgabe zu sehen (Tone from the Top) und systematisch-kontinuierlich zu betreiben.

• ISO 22301 (Security and resilience – Business Continuity Management Systems – Requirements): Diese Norm (zuletzt aktualisiert 2019) legt Anforderungen für ein systematisches Business Continuity Management System (BCMS) fest. Sie fordert u. a. Business Impact Analysen, Notfall- und Wiederanlaufpläne und regelmäßige Übungen. Unternehmen, die nach ISO 22301 zertifiziert sind, haben damit nachgewiesen, dass sie strukturiert auf störende Ereignisse vorbereitet sind und Mechanismen zur Aufrechterhaltung kritischer Tätigkeiten etabliert haben. Gerade für Facility Manager in kritischen Bereichen ist diese Norm relevant, da sie die Schnittstelle zwischen Infrastruktur und Unternehmensfortbestand adressiert. Ein ISO 22301-konformes BCM stellt sicher, dass im Krisenfall Ressourcen und Prozesse verfügbar gemacht werden, um den Betrieb zu sichern. Für viele Stakeholder (Banken, Großkunden) wird ein BCMS zunehmend zum Erwartungswert – es belegt die Resilienzfähigkeit der Organisation.

• ISO/IEC 27001 (Informationssicherheits-Managementsystem): Obwohl im User-Fragekontext nicht ausdrücklich erwähnt, ist ISO 27001 doch bedeutend, weil sie den IT-Sicherheitsbereich standardisiert und auch physische Sicherheitsaspekte (Schutz der IT-Räume, Zugangssteuerung) mit abdeckt. Unternehmen, die ein ISMS nach 27001 betreiben, haben meist klar definierte Sicherheitsrichtlinien, Risikobehandlungen und Notfallmaßnahmen im IT-Kontext.

• ISO 45001 (Arbeitsschutzmanagement) und ISO 14001 (Umweltmanagement): Diese seien am Rande genannt, da sie tangierende Bereiche abdecken – Arbeitssicherheit und Umweltsicherheit. Zwar anders ausgerichtet, gibt es Überschneidungen (z. B. Evakuierungspläne gelten für alle, Umweltvorfälle können auch Sicherheitsrisiken sein). Ein Integriertes Managementsystem fasst idealerweise alle diese Normen zusammen.

• VdS-Richtlinien: Die VdS Schadenverhütung GmbH (ehemals ein Institut der deutschen Versicherer) gibt eine Reihe an Richtlinien heraus, die als anerkannte Stand der Technik im Sicherheitsbereich gelten. VdS-Richtlinien decken verschiedene Felder ab, z. B. Brandschutz (Planung, Installation und Betrieb von Brandmeldeanlagen, Sprinkleranlagen – z. B. VdS 2095 für Sprinkler), Einbruchmeldeanlagen (VdS 2311), mechanische Sicherungen, sowie neuere Richtlinien für Informationssicherheit (VdS 10000 für Cyber-Security bei KMU, VdS 3473 etc.). Diese Richtlinien basieren auf Schadenerfahrungen und werden in Zusammenarbeit mit Fachkreisen und Versicherern entwickelt. Ihr Ziel ist es, Schäden an Leben, Gesundheit und Eigentum zu vermeiden (Sachwert- und Ausfallschutz). Viele Versicherer machen den Abschluss oder Prämiennachlässe davon abhängig, dass solche VdS-Standards eingehalten oder zertifiziert sind – bspw. muss eine Sprinkleranlage VdS-anerkannt sein, damit die Feuerversicherung vollen Schutz gewährt. Für das Sicherheitsmanagement sind VdS-Richtlinien praxisnahe Leitfäden, da sie sehr konkret Anforderungen definieren (z. B. wie oft muss eine Sicherheitsanlage gewartet werden, welche Qualifikation braucht das Personal, etc.). Sie unterstützen zugleich die Risikobewertung der Versicherer und Unternehmen, indem sie Konzepte zur Risikoerkennung und Schadensverhütung bereitstellen. Ein Beispiel jüngerer Zeit: VdS 10005 enthält einen Leitfaden zur schnellen Umsetzung von IT-Grundschutzmaßnahmen, um KMUs zügig auf ein Basis-Sicherheitsniveau zu heben. Insgesamt gelten VdS-Papiere besonders in Deutschland als Gütesiegel im Sicherheitsbereich.

• Weitere Standards und Best Practices: Je nach Bereich könnten auch Normen wie DIN EN 50600 (Rechenzentrumssicherheit), ISO 28000 (Sicherheitsmanagement in der Lieferkette), BS 25999 (Vorgänger von ISO 22301) oder branchenspezifische Standards (z. B. TAPA für Frachtsicherheit, GMP-Sicherheitsanforderungen in Pharma etc.) relevant sein. Auch Veröffentlichungen staatlicher Stellen – in Deutschland etwa die BSI-Standards (wie BSI 200-3 für Risikoanalyse, BSI 200-4 für Notfallmanagement) – geben eine Richtung vor.

• Compliance-Management: In größeren Unternehmen existiert oft ein dediziertes Compliance-Management, das überwacht, dass alle externen und internen Vorgaben eingehalten werden. Sicherheitsmanagement sollte eng mit Compliance zusammenarbeiten, denn hier gibt es Überschneidungen: Beispielsweise die Einhaltung von Normen (ISO-Zertifizierungen), die Erfüllung von aufsichtsrechtlichen Anforderungen (bei Banken/Versicherungen), oder auch Datenschutz-Compliance. Ein praktischer Ansatz ist, ein Compliance-Register zu führen, in dem alle relevanten Vorschriften aufgeführt sind, und per regelmäßiger Prüfung sicherzustellen, dass man nicht dagegen verstößt. Für Facility- und Sicherheitsmanager bedeutet dies oft, Checklisten zu pflegen wie: Sind alle notwendigen Wartungen und Prüfungen durchgeführt (um regulatorische Vorgaben zu erfüllen)? Haben wir Nachweise für unsere Risikoanalysen (falls ein Auditor fragt)? Sind Mitarbeiterunterweisungen gemäß Arbeitsschutzgesetz erfolgt? – Diese Compliance-Aspekte sind integraler Bestandteil des Sicherheitsmanagements.

• Konsequenzen bei Nicht-Konformität: Die Nichteinhaltung von Sicherheitsauflagen kann vielfältige Folgen haben. Juristisch drohen Bußgelder (z. B. DSGVO bis 4% Umsatz), Verwaltungsakte (Stilllegung eines Betriebsbereichs durch Behörden), Regressforderungen (Versicherungen können Leistungen kürzen, wenn grobe Fahrlässigkeit vorliegt und z. B. vorgeschriebene Schutzanlagen fehlten) und im Ernstfall auch strafrechtliche Konsequenzen (etwa wenn durch Vernachlässigung der Sicherheit jemand zu Schaden kommt, was als fahrlässige Körperverletzung/ Tötung geahndet werden kann). Umgekehrt bringt Konformität nicht nur „Freibriefe“, sondern auch handfeste betriebliche Vorteile: Zertifikate und Audits bestätigen gegenüber Kunden die Zuverlässigkeit, und ein nach Standards aufgebautes System ist meist auch effizienter und sicherer.

• Integrierte Managementsysteme: Viele Unternehmen entscheiden sich, die Anforderungen mehrerer Normen in einem integrierten System zusammenzuführen – das erleichtert Übersicht und Pflege. So kann ein übergreifendes Risk & Safety Management System die Belange von ISO 9001 (Qualität), ISO 14001, ISO 45001, ISO 27001 und ISO 22301 etc. koordinieren. Für das Top-Management ist wichtig, regelmäßig Berichte zu erhalten (Management-Review), um die Konformität zu überwachen. Das Sicherheitsmanagement sollte hierbei Teil des jährlichen Managementzyklus sein.

• Zusammenfassend ist Rechts- und Normenkonformität kein Nebenaspekt, sondern ein Grundpfeiler professionellen Sicherheitsmanagements. Die Einhaltung der einschlägigen Normen (z. B. ISO 31000, ISO 22301) und Richtlinien (z. B. VdS) gewährleistet, dass man sich am Stand der Technik orientiert und gegenüber Dritten Rechenschaft ablegen kann. Für Führungskräfte heißt das: immer auf dem Laufenden bleiben über neue Gesetze (z. B. NIS2-Richtlinie der EU, Lieferkettensorgfaltspflichtengesetz, neue DIN/VDE-Normen im Sicherheitsbereich etc.) und die Sicherheitsorganisation entsprechend anpassen. Ein guter Sicherheitsmanager arbeitet hier oft proaktiv mit Verbänden und Fachgremien zusammen, um Trends frühzeitig zu erkennen. Letztlich schützt Compliance nicht nur vor negativen Konsequenzen, sondern ist auch Ausdruck von Professionalität und Qualität im Unternehmenssicherheitsmanagement.

Sicherheitsmanagement ist in hohem Maße kontextabhängig. Je nach Branche, Art der Liegenschaften und Unternehmenszweck unterscheiden sich die Risikolandschaften erheblich. Folglich variieren auch die Anforderungen – sei es durch spezifische Gesetze, Normen oder typische Gefahren. Im strategischen Facility Management müssen diese branchenspezifischen Besonderheiten berücksichtigt und die Sicherheitsstrategie entsprechend angepasst werden. Im Folgenden werden einige exemplarische Branchen und ihre besonderen Anforderungen skizziert:

Kritische Infrastrukturen (KRITIS): Zu den KRITIS-Sektoren zählen u. a. Energieversorgung, Wasserversorgung, Informationstechnik/Telekommunikation, Gesundheitswesen, Transport und Verkehr, Finanz- und Versicherungswesen, Lebensmittelversorgung sowie das Regierungswesen. Betreiber kritischer Infrastrukturen unterliegen – wie erwähnt – strengen gesetzlichen Vorgaben (BSI-Gesetz, IT-Sicherheitsgesetz 2.0) bezüglich ihrer IT- und physischer Sicherheit.