Unternehmenssicherheitsmanagement: Sicherheits- und Kontinuitätsstrategie

• Business Continuity Management (BCM) bezeichnet die Entwicklung von Strategien, Plänen und Maßnahmen, um geschäftskritische Tätigkeiten oder Prozesse selbst unter Krisenbedingungen aufrechtzuerhalten bzw. rasch wieder aufnehmen zu können. Ziel des BCM ist es, den Fortbestand des Unternehmens im Angesicht gravierender Störungen sicherzustellen (Überlebensfähigkeit), was letztlich ein Aspekt der unternehmerischen Nachhaltigkeit ist. BCM ist eng mit dem Risikomanagement verwandt und in der Praxis oft an Schnittstellen zu Informationssicherheit, IT-Notfallplanung und Facility Management angesiedelt.

• Kern des BCM ist die Business Impact Analyse (BIA): eine systematische Untersuchung aller Geschäftsprozesse hinsichtlich ihrer Kritikalität und Abhängigkeiten. Dabei wird ermittelt, welche Ressourcen (Gebäude, Anlagen, IT-Systeme, Lieferketten, Personal etc.) für das Funktionieren jedes Prozesses unverzichtbar sind und welche finanziellen oder reputativen Schäden ein Ausfall zeitigen würde. Basierend auf der BIA werden Kontinuitätsstrategien entwickelt. Dazu gehören die Identifikation von Wiederanlaufzeiten (Recovery Time Objectives) und Toleranzzeiten sowie das Festlegen von Alternativlösungen für den Notbetrieb.

• Ein wesentliches Element sind Notfallpläne und Wiederherstellungspläne für unterschiedliche Szenarien. Diese Pläne beschreiben, wie im Falle eines größeren Schadens vorzugehen ist, um den Betrieb schnellstmöglich wiederherzustellen. Beispielsweise legen IT-Notfallpläne Maßnahmen fest, um einen kompletten IT-Ausfall (etwa durch Cyberattacke oder Rechenzentrumsstörung) zu überbrücken – sei es durch Umschalten auf redundante Systeme, Wiederherstellung von Backups oder Ausweichen auf Cloud-Dienste. Für die räumliche Infrastruktur erstellt das Facility Management Konzepte für Ausweichstandorte und Ersatzarbeitsplätze. So kann im Ernstfall, wenn z. B. ein Hauptstandort durch Brand oder Überschwemmung unbenutzbar wird, ein Ausweichbüro bezogen werden. Wie die Praxis zeigt, können bereits relativ kleine Vorfälle einen Standort lahmlegen – etwa ein Stromausfall oder ein Wasserrohrbruch, der Büroräume für Tage unbrauchbar macht. Unternehmen, die dann keinen schnellen Zugang zu alternativen Arbeitsplätzen und Einrichtungen haben, müssen mit Produktions- und Geschäftsausfällen, Datenverlust, Imageschäden und dem Verlust von Kunden rechnen. BCM sorgt vor, indem es solche Alternativen (zum Beispiel in Form von vertraglich reservierten „Hot Sites“ bzw. Ausweichrechenzentren, mobilen Bürolösungen oder Home-Office-Regelungen) bereitstellt.

• Die Implementierung von BCM erfordert organisatorisch meist ein dediziertes BCM-Team oder -Beauftragten, der die Planung koordiniert und die relevanten Fachabteilungen einbindet. Regelmäßige Tests und Übungen sind ebenfalls integraler Bestandteil: Notfallpläne – z. B. für den Ausfall der Energieversorgung oder den Komplettausfall der IT – sollten in regelmäßigen Abständen anhand von Simulationen oder Drills geprüft und aktualisiert werden. Viele Branchen (z. B. Finanzsektor) fordern solche Übungen regulatorisch ein. Ebenso erwarten große Auftraggeber heute von ihren Lieferanten den Nachweis eines tragfähigen BCM-Konzepts; bei Ausschreibungen kann ein unzureichendes Kontinuitätsmanagement zum Ausschluss führen.

• Als Rahmenwerk für die Umsetzung dient beispielsweise die internationale Norm ISO 22301, welche die Anforderungen an ein zertifizierbares Business Continuity Management System (BCMS) definiert. Unternehmen, die ISO-22301-konforme BCM-Systeme einführen, profitieren von klaren Strukturen und international anerkannten Best Practices für die Aufrechterhaltung der Betriebsfähigkeit.

Das Notfallmanagement konzentriert sich auf die unmittelbare Reaktion bei akuten Schadensereignissen und Unfällen. Es beinhaltet die Planung und Vorgehensweise für operative Notfälle jeder Art – vom Brandalarm über Unfälle, technische Störungen bis hin zu Umweltvorfällen. Ziel ist es, in der ersten Phase eines Ereignisses schnell und angemessen zu handeln, um Menschenleben zu schützen, Sachschäden zu begrenzen und die Situation unter Kontrolle zu bringen. Oft entscheidet die Effektivität des Notfallmanagements darüber, ob sich ein Vorfall zu einer unternehmensweiten Krise auswächst oder beherrschbar bleibt.

Grundlage des Notfallmanagements sind Notfallpläne (Alarm- und Gefahrenabwehrpläne), die für verschiedene Szenarien festlegen, wer was wann und wie zu tun hat. Ein gut strukturierter Notfallplan weist allen Beteiligten klare Verantwortlichkeiten zu, definiert Meldeschleifen und Kommunikationswege (Alarmierungsketten) und stellt die notwendigen Ressourcen für den Ernstfall bereit. So sind beispielsweise Evakuierungspläne für Gebäude Teil des Facility-Notfallkonzepts, ebenso Pläne für den Ausfall wichtiger Versorgungsanlagen (Strom, Kühlung, Aufzüge etc.). Im IT-Bereich spricht man analog von Disaster-Recovery-Plänen, die das Vorgehen bei IT-Notfällen regeln.

Wichtig ist, dass Notfallprozesse regelmäßig trainiert werden – ähnlich wie Feueralarm-Übungen. Nur durch Übungen kann sichergestellt werden, dass im Ernstfall alle Handgriffe sitzen und die Zusammenarbeit zwischen z.B. Facility Management, Werkschutz, Betriebssanitätern und externen Einsatzkräften (Feuerwehr, Rettungsdienst) reibungslos funktioniert. Moderne Notfallmanagement-Konzepte nutzen zudem technische Hilfsmittel wie Alarmierungssysteme (z.B. Sirenen, Durchsagen, SMS-Alarm), Notfallhandbücher oder mobile Apps, die im Ereignisfall Checklisten und Ansprechpartner bereitstellen.

Aus FM-Sicht umfasst das Notfallmanagement auch die Instandhaltung und Überwachung sicherheitstechnischer Einrichtungen: Brandmeldeanlagen, Sprinkler, Notstromaggregate, Sicherheitsbeleuchtung, Zugangskontrollsysteme und ähnliches müssen stets funktionsfähig sein. Regelkonforme Prüfungen (z.B. TÜV-Abnahmen von Feuerlöschern, Wartung von USV-Anlagen) sind Teil des Plans. Damit verzahnt ist der Arbeitsschutz – Mitarbeiter müssen über Notfallsituationen aufgeklärt und im Verhalten geschult sein (Erste-Hilfe-Kurse, Evakuierungshelfer, Sicherheitsunterweisungen).

Zusammengefasst stellt das Notfallmanagement sicher, dass ein Unternehmen auf plötzliche Störfälle vorbereitet ist und initiale Schäden möglichst gering gehalten werden. Es bildet oft die erste Verteidigungslinie und die Basis für weitergehendes Krisenmanagement, falls der Vorfall eskaliert.

Während das Notfallmanagement die unmittelbare Gefahrenabwehr regelt, befasst sich das Krisenmanagement mit der strategischen Bewältigung von außergewöhnlichen Störungen und Unternehmenskrisen. Eine Krise im Unternehmenskontext ist ein ungeplantes, unerwünschtes Ereignis von potenziell existenzgefährdender Wirkung, das oft mehrere Unternehmensbereiche betrifft und sich einer schnellen Kontrolle entzieht. Beispiele reichen von Produktkontaminationen über schwere Unfälle mit Öffentlichkeitswirkung bis zu langanhaltenden IT-Ausfällen oder Pandemieereignissen. Krisenmanagement zielt darauf ab, durch übergreifende Koordination und Entscheidungsfindung den Schaden zu begrenzen, die Kontrolle zurückzugewinnen und die Reputation des Unternehmens zu schützen.

Zentrales Instrument des Krisenmanagements ist der Krisenstab. Dieser setzt sich typischerweise aus Mitgliedern der Geschäftsleitung sowie Leitern relevanter Fachbereiche (FM, Produktion, IT, PR, Recht, HR etc.) zusammen. Im Ereignisfall kommt der Krisenstab sofort zusammen (physisch in einem Krisenraum oder virtuell) und übernimmt die Führung.

• Lagebeurteilung: Informationen zusammentragen, die Situation analysieren, das Ausmaß der Betroffenheit des Unternehmens feststellen.

• Entscheidungsfindung: Strategische Entscheidungen über das weitere Vorgehen treffen (z. B. Betriebsstilllegung einzelner Standorte, Einbindung externer Experten, Aktivierung von Notfallplänen, Priorisierung knapper Ressourcen).

• Kommunikation: Steuerung der internen und externen Kommunikation. Dies umfasst zum einen die Information der Belegschaft (transparente Lageupdates, Verhaltensanweisungen) und zum anderen die Krisenkommunikation gegenüber Öffentlichkeit, Medien, Kunden, Partnern und Behörden.

Gerade die Kommunikation ist in Krisenzeiten erfolgskritisch. Durch soziale Medien und 24/7-Nachrichtenzugang ist das öffentliche und mediale Interesse bei Unternehmenskrisen enorm gestiegen. Negative Nachrichten und Gerüchte können sich rasend schnell verbreiten und erhebliche Imageschäden hervorrufen, die finanzielle Auswirkungen nach sich ziehen. Daher sind professionelle Konzepte für die Presse- und Öffentlichkeitsarbeit essentiell. Der Krisenstab richtet in der Regel eine zentrale Kommunikationsstelle ein (Pressesprecher oder -team), um konsistente Botschaften auszugeben. Als Grundsatz gilt: offen, schnell und wahrheitsgemäß informieren, um Vertrauensverlust vorzubeugen. Viele Unternehmen haben vorbereitete Holding Statements für absehbare Krisenszenarien und trainieren den Umgang mit Medien.

Während der Krise werden im Stab regelmäßig Lagebesprechungen abgehalten, Maßnahmen umgesetzt und deren Wirksamkeit überwacht. Auch die Interaktion mit Behörden (z. B. Einsatzleitungen von Polizei/Feuerwehr, Aufsichtsbehörden) koordiniert der Krisenstab. Dokumentation ist wichtig: alle Ereignisse, Entscheidungen und Kommunikationsschritte werden protokolliert, um im Nachgang Lessons Learned ziehen zu können.

Die Schnittstelle zum Business Continuity Management ist fließend: Oft beauftragt der Krisenstab die Umsetzung der Business-Continuity-Pläne (z. B. Hochfahren eines Ausweichrechenzentrums, Umzug an Notfallstandorte) und überwacht die Fortschritte. Umgekehrt liefert das BCM dem Krisenstab im Vorfeld definierte Eskalationsschwellen und Ansprechpartner.

Nach der Bewältigung einer Krise führt ein professionelles Krisenmanagement stets eine Nachbereitung durch. Diese umfasst Ursachenanalyse, Bewertung der Effektivität der Reaktion und Ableitung von Verbesserungsmaßnahmen (KVP). Dadurch wird die Organisation mit jeder durchlaufenen Krise widerstandsfähiger.

• Infrastrukturrisiken: z. B. Gebäudeschäden durch Feuer, Wasser, Sturm; Ausfall von Versorgungsleistungen (Strom, Heizung/Klima, Wasserversorgung); technische Störfälle in Anlagen (Aufzüge, Maschinen, Sprinkler).

• Sicherheitsrisiken: Einbrüche, Diebstahl, Vandalismus auf dem Firmengelände; Zutrittsverletzungen; Gewaltereignisse oder Terrorbedrohungen; Sabotageakte; aber auch IT-bezogene Risiken (z. B. Ausfall von Gebäudeleittechnik oder Gebäudedaten durch Cyberangriffe).

• Compliance-Risiken: Verletzung gesetzlicher Vorgaben im Gebäude- und Sicherheitsbetrieb (Arbeitsschutz, Brandschutzvorschriften, Umweltauflagen, Datenschutz bei Videoüberwachung, etc.), die zu Unfällen, Haftung oder behördlichen Auflagen führen können.

• Betriebsunterbrechungsrisiken: Alle Faktoren, die die Nutzbarkeit der Facilities beeinträchtigen und so Geschäftsprozesse stören (z. B. Pandemien, die den Zugang zu Standorten verhindern; großflächige Verkehrsstörungen, die Logistikzentren lahmlegen).

Die FM-Risikoanalyse greift dabei auf Methoden des allgemeinen Risikomanagements zurück: Identifikation (z. B. via Workshops, Brainstorming, Checklisten, Lessons Learned), Bewertung von Eintretenswahrscheinlichkeit und Schadenshöhe (oft mit Risikomatrix), Priorisierung und Festlegung von Maßnahmen. Wichtig ist die enge Zusammenarbeit mit anderen Bereichen – etwa IT und Arbeitssicherheit – um Überschneidungen abzudecken.

Ein bemerkenswerter Aspekt: Häufig scheitern Krisenprävention und -reaktion daran, dass Risiken nicht ausreichend analysiert oder ernst genommen wurden. "Ursprung nicht funktionierender Kriseninterventionen sind meist nicht oder schlecht durchgeführte Risikoanalysen" – je unvollständiger die Risikoerkennung, desto gravierender fallen im Ernstfall die Schäden aus. Dieses Zitat verdeutlicht, dass lückenhafte Risikoanalysen unmittelbare Auswirkungen auf die Krisenbewältigung haben.

Im Facility Management darf kein Bereich unbeachtet bleiben, da nahezu jeder Aspekt – sei es Technik, Mensch oder Organisation – zum Auslöser einer Krise werden kann, wenn er vernachlässigt wird. Gerade die Einhaltung von Vorschriften spielt eine große Rolle: Die Nichtbeachtung der zahlreichen gesetzlichen und normativen Vorgaben im FM (etwa Prüfpflichten, Sicherheitsauflagen, bauliche Vorschriften) birgt erhebliche Risiken. Zum Beispiel kann das Ignorieren regelmäßiger Wartungen an sicherheitsrelevanten Anlagen (wie Sprinkler, Notstrom) im Ernstfall dazu führen, dass Schutzeinrichtungen versagen – mit potenziell katastrophalen Folgen. Ebenso kann die Missachtung von Arbeitszeitregelungen oder Brandschutzbestimmungen schnell rechtliche Konsequenzen und Betriebsstillstände nach sich ziehen.

Die Bewertung identifizierter Risiken erfolgt aus FM-Sicht oft unter dem Fokus der betrieblichen Auswirkungen: Welche Teile des Betriebs sind betroffen, wie lange wäre der Geschäftsbetrieb gestört, welche Kosten entstehen pro Stunde Stillstand? Diese Business-Impact-Betrachtung verbindet sich hier mit dem BCM. Risiken mit hoher potenzieller Betriebsunterbrechung (z. B. Ausfall der Hauptverwaltung durch Gebäudeschaden) erhalten Top-Priorität für präventive Maßnahmen.

Schließlich werden die festgelegten Risiken und Maßnahmen im Risiko- bzw. Sicherheitsregister dokumentiert und regelmäßig im Rahmen des Risikoreportings aktualisiert. Das FM sollte hierbei eng in das unternehmensweite Risikomanagement integriert sein, sodass FM-Risiken in das Gesamtbild einfließen und auf Vorstandsebene Sichtbarkeit haben.

Weitere relevante Regelwerke: Neben den obigen Beispielen gibt es zahlreiche weitere Normen und Standards, z.B. ISO/IEC 27001 für Informationssicherheits-Managementsysteme (wichtig für IT-Sicherheit im Unternehmen), ISO 31000 für Risikomanagement, branchenspezifische Standards (wie der BSI-Grundschutz für IT oder NFPA/UL-Normen für Brandschutz in den USA) sowie nationale Gesetze wie das Arbeitsschutzgesetz, die Datenschutz-Grundverordnung (DSGVO) für Schutz von personenbezogenen Daten auch in Sicherheitskontexten, oder das IT-Sicherheitskennzeichen (für zertifizierte IT-Produkte). Facility Manager sollten die für ihr Aufgabengebiet einschlägigen Normen kennen und deren Anforderungen in ihre Sicherheitskonzepte integrieren. Beispielsweise verweist auch die Facility-Management-Norm DIN EN 15221 auf Sicherheitsaspekte und Krisenbewältigung, was die Bedeutung solcher Vorgaben unterstreicht.

In den letzten Jahren rückt die Verzahnung von Sicherheits-/Kontinuitätsmanagement mit den Themen Nachhaltigkeit, ESG (Environmental, Social, Governance) und Resilienz verstärkt in den Fokus. Während ESG-Kriterien ursprünglich vor allem ökologische und soziale Nachhaltigkeit sowie gute Unternehmensführung abdecken, zeigt sich zunehmend, dass dies unzureichend ist, wenn die Widerstandsfähigkeit eines Unternehmens gegenüber Krisen nicht gegeben ist. Unternehmen stellen fest, dass reines Nachhaltigkeits-Reporting nicht ausreicht – sie müssen tatsächlich resilient sein gegenüber Klimawandelfolgen, geopolitischen Spannungen, Cyber-Bedrohungen und Lieferkettenbrüchen. Der Fokus verschiebt sich vom reinen Berichten hin zu echter unternehmerischer Resilienz, also der Fähigkeit, Schocks auszuhalten und gestärkt daraus hervorzugehen.

Resilienzstrategien ergänzen demnach die ESG-Perspektive um die operative Krisenfestigkeit. Während ESG-Modelle auf Transparenz und standardisierte Offenlegung abzielen (Vergangenheit und Soll-Zustand), fragt Resilienz: Wie gut ist das Unternehmen tatsächlich auf Störungen vorbereitet – operativ, strategisch und kulturell?. So geht es etwa nicht nur darum, ob ein Unternehmen klimaneutral produziert, sondern auch, ob es Extremwetter-Ereignisse überstehen kann; ob es bei Ressourcenknappheit Alternativen hat; ob die Mitarbeiter auf Krisensituationen vorbereitet sind. ESG bleibt wichtig als Orientierungsrahmen nachhaltigen Handelns, aber Resilienz erweitert den Blickwinkel durch konkrete Umsetzungsfähigkeit in Krisen.

In der Praxis bedeutet dies, dass Sicherheits- und Kontinuitätsmanagement zu Enablern von Nachhaltigkeit werden. Beispielsweise verlangt die Governance-Säule von ESG auch ein wirksames Risikomanagement und interne Kontrollen – hier fließt die Gestaltung des Sicherheitsmanagementsystems mit ein. Die Social-Komponente umfasst Mitarbeiterwohl und -sicherheit: ein gutes Unternehmenssicherheitsmanagement schützt Mitarbeitende (und andere Stakeholder) vor Schaden und ist Teil der sozialen Verantwortung. Die Environmental-Seite tangiert das Thema etwa bei der Vorsorge gegen Umweltunfälle oder der Klimaanpassung von Gebäuden (Resilienz gegen Hochwasser, Hitze etc.).

Ein weiterer Aspekt ist die Wechselwirkung zwischen Resilienz und Nachhaltigkeit. Ein Unternehmen kann nur dann nachhaltig wirtschaften, wenn es auch gegenüber unvorhergesehenen Ereignissen robust ist – andernfalls können langfristige Nachhaltigkeitsziele durch einen einzigen schweren Zwischenfall zunichte gemacht werden. Umgekehrt fördert eine nachhaltige Ausrichtung (z. B. Diversifizierung von Lieferketten, energieeffiziente Backup-Systeme) oft die Resilienz. Insofern sind Nachhaltigkeit und Kontinuität eng miteinander verflochten.

Investor*innen und Aufsichtsbehörden beginnen ebenfalls, Resilienz als Kriterium zu betrachten. In ESG-Ratings und Berichtsstandards (wie TCFD – Task Force on Climate-related Financial Disclosures) wird die Widerstandsfähigkeit gegenüber Szenarien abgefragt. Unternehmen, die hier gute Konzepte nachweisen können (z. B. klimabezogene Risikoanalysen, Notfallpläne für Lieferkettenausfälle), gelten als besser aufgestellt. Auch im Rating von Kreditgebern (Bankenaufsicht, Basel-Regularien) spielen Notfallvorsorge und Geschäftsfortführungspläne eine Rolle.

Für das Facility Management bedeutet die Verzahnung mit ESG und Resilienz: Sicherheits- und Kontinuitätsstrategien sollten nicht isoliert betrachtet werden, sondern eingebettet in die übergeordnete Nachhaltigkeits- und Unternehmensstrategie. Beispielsweise kann eine klimabedingte Risikoanalyse (Teil der ESG-Risiken) direkt in Maßnahmen münden, die zugleich BCM-relevant sind (etwa Hitzeaktionspläne für Gebäude oder Überschwemmungsschutz). Auch die Betrachtung der gesamten Wertschöpfungskette (Lieferanten und Dienstleister) unter ESG-Gesichtspunkten überschneidet sich mit dem BCM-Thema Lieferantenresilienz und Third-Party Risk Management. Führende Unternehmen koordinieren daher ihre Aktivitäten in Sachen ESG, Risikomanagement und Business Continuity eng, nutzen gemeinsame Daten (Risikoindikatoren, Monitoring von Entwicklungen) und profitieren von Frühwarnsystemen, die sowohl ESG- als auch Betriebsrisiken abdecken.

Kurzum: Nachhaltigkeit, Resilienz und Sicherheitsmanagement greifen ineinander. Ein integratives Konzept schafft Mehrwert: Es verringert nicht nur die Wahrscheinlichkeit existenzbedrohender Vorfälle, sondern erhöht auch die Attraktivität des Unternehmens für Investoren, Kunden und Mitarbeitende, die in einem sicheren und vorausschauend geführten Unternehmen involviert sein wollen. Resilienz ist dabei keine Konkurrenz zur Nachhaltigkeit, sondern deren konsequente Weiterentwicklung.

• Informationstechnologie (IT): Die Vernetzung von Facility- und IT-Sicherheit ist unerlässlich, da moderne Gebäude und Anlagen hochgradig digitalisiert sind (Stichwort Smart Building, IoT-Sensorik, Gebäudeleittechnik). Die IT-Abteilung bringt Expertise zu Cyber-Bedrohungen ein und stellt sicher, dass technische Sicherheitsmaßnahmen (Firewalls, Zugriffsmanagement, Datensicherungen) vorhanden sind. Umgekehrt benötigt die IT Infrastruktur-Services vom FM (z.B. klimatisierte Serverräume mit Ausfallsicherheit gemäß DIN EN 50600). Business Continuity- und Notfallkonzepte müssen gemeinsam entwickelt werden, etwa wenn es um Notstromversorgung für IT-Equipment oder Wiederanlaufpläne nach Cyberangriffen geht. Regelmäßiger Austausch – z. B. in Form eines gemeinsamen IT-/FM-Sicherheitsausschusses – stellt sicher, dass physische und informationstechnische Sicherheitsaspekte integriert betrachtet werden. Außerdem greift IT-Sicherheit oft auf FM-Ressourcen zurück (z.B. Schulung der Mitarbeiter im sicheren Umgang mit IT oder Zugangsberechtigungen), was klare Prozesse erfordert.

• Human Resources (Personal): HR spielt bei Sicherheits- und Kontinuitätsstrategien eine doppelte Rolle. Erstens betrifft Sicherheitsmanagement die Mitarbeiter direkt: Sie müssen im Umgang mit Notfällen geschult werden (Evakuierungsübungen, Ersthelfer-Ausbildung, Sicherheitsunterweisungen) und im Krisenfall kommunikativ betreut werden. Zweitens hat HR selbst Aufgaben, etwa bei der Sicherstellung personeller Kontinuität (Vertretungsregelungen, Nachfolgeplanung für Schlüsselpositionen) und bei der Pflege der Notfallkontaktdaten der Belegschaft. Auch Personen-Screenings oder Zuverlässigkeitsüberprüfungen bei sicherheitskritischen Stellen (z.B. Sicherheitsdienst, Rechenzentrums-Personal) fallen in den HR-Bereich. In Krisenstäben ist HR typischerweise vertreten, um Entscheidungen bzgl. Mitarbeiterbelangen (z.B. temporäre Arbeitsaussetzungen, Homeoffice-Anordnungen, psychologische Betreuung nach traumatischen Ereignissen) zu begleiten. Durch eine gute Zusammenarbeit von Sicherheitsmanagement und HR lässt sich zudem eine Sicherheitskultur im Unternehmen etablieren, die von allen mitgetragen wird.

• Rechtsabteilung (Legal/Compliance): Die juristische Perspektive ist im Unternehmenssicherheitsmanagement allgegenwärtig. Die Rechtsabteilung berät zu Haftungsfragen, regulatorischen Anforderungen und Verträgen mit Sicherheitsdienstleistern oder technischen Anbietern. Sie stellt sicher, dass z.B. beim Einsatz von Videoüberwachung oder Zutrittskontrollsystemen die Datenschutzvorgaben eingehalten werden und dass Notfallpläne mit den Arbeitsschutzgesetzen im Einklang stehen. Bei internationalen Unternehmen achtet Legal darauf, dass die Sicherheitsstrategie länderspezifische Vorschriften berücksichtigt (z.B. Meldepflichten bei Datenschutzvorfällen, lokale Brandschutzverordnungen, etc.). In einer Krisensituation bewertet die Rechtsabteilung mögliche juristische Konsequenzen von Entscheidungen (z. B. zu Produktrückrufen oder Presseerklärungen) und hilft, Formulierungen rechtssicher zu gestalten. Auch gegenüber Behörden (wie der Gewerbeaufsicht oder Datenschutzbehörden) fungiert die Rechtsabteilung als Ansprechpartner. Kurzum sorgt die Compliance-Funktion dafür, dass Sicherheitsmaßnahmen rechtskonform geplant und umgesetzt werden – was im Zweifelsfall vor Strafen und Reputationsschäden schützt.

• Geschäftsleitung (Management): Die Einbindung der obersten Führungsebene ist ein Schlüsselfaktor. Nur die Geschäftsleitung kann die Priorität setzen, ausreichende Ressourcen (Budget, Personal) für Sicherheits- und Continuity-Projekte bereitstellen und die entsprechende Policy im Unternehmen verankern. Das Top-Management muss klare Verantwortlichkeiten festlegen – oft wird ein Chief Security Officer (CSO) oder ein Sicherheitsmanager ernannt, der direkt an die Geschäftsführung berichtet. In vielen Organisationen existieren Steuerungsgremien wie ein Risiko- oder Sicherheitskomitee, dem auch Mitglieder der Geschäftsleitung angehören, um eine regelmäßige Kontrolle und Lenkung sicherzustellen. Zudem obliegt es der Geschäftsführung, im Ernstfall (Krise) persönlich einzuschreiten und Führungsverantwortung zu übernehmen. Gerade in Krisenzeiten erwarten Stakeholder oft ein Signal "von oben". Beispielsweise übernimmt in schwerwiegenden Krisen üblicherweise ein Geschäftsleitungsmitglied den Vorsitz des Krisenstabs und tritt als Sprecher gegenüber der Öffentlichkeit auf. Dies unterstreicht die Haltung und das Engagement des Unternehmens. Nicht zuletzt ist die Geschäftsleitung aufgrund gesetzlicher Vorgaben (siehe oben KonTraG und Haftung) gezwungen, sich aktiv mit dem Sicherheitsmanagement zu befassen. Gute Governance bedeutet hier, Sicherheit als integralen Bestandteil der Unternehmensführung und -kultur zu sehen.

All diese Schnittstellen zeigen: Unternehmenssicherheit ist interdisziplinär. Ein isoliertes Agieren einzelner Abteilungen greift zu kurz. Stattdessen braucht es abteilungsübergreifende Prozesse, Informationsflüsse und eine gemeinsame Sprache in Sachen Risiko und Sicherheit. Workshops, bereichsübergreifende Übungen und ein gelebter Austausch fördern das Verständnis füreinander und machen das Sicherheits- und Kontinuitätsmanagement erst schlagkräftig.

Ein effektives Sicherheits- und Kontinuitätsmanagement muss in die Corporate Governance eingebettet sein. Das bedeutet, dass auf oberster Ebene Richtlinien, Strukturen und Überwachungsmechanismen etabliert werden, um Sicherheit und Resilienz fest in der Unternehmenssteuerung zu verankern. Viele Unternehmen formulieren eine eigene Sicherheits- oder Resilienzpolitik, die von der Geschäftsführung verabschiedet wird und die strategischen Leitplanken setzt (z.B. Null-Toleranz gegenüber bestimmten Risiken, Vorrang für Personenschutz, Verpflichtung zur Einhaltung bestimmter Standards). Daraus werden klar definierte Governance-Strukturen abgeleitet: etwa die Benennung von Verantwortlichen (Sicherheitsbeauftragte, BCM-Manager, Datenschutzbeauftragte etc.), die Einrichtung eines Krisenstabs auf Managementebene, regelmäßige Management-Reviews der Sicherheitslage und das Verankern des Themas in Aufsichtsgremien.

Compliance ist hierbei unabdingbar. Das Sicherheitsmanagement muss gewährleisten, dass alle einschlägigen gesetzlichen und regulatorischen Vorgaben eingehalten werden – von Arbeitssicherheit über Brandschutz bis zu IT-Sicherheitsgesetzen. Oft hilft ein Compliance-Kontrollsystem (inkl. Dokumentation von Prüfungen, Schulungen und Audits), den Überblick zu behalten. Externe Zertifizierungen (ISO-Normen, TÜV-Prüfungen) können als Nachweis dienen, dass man "state of the art" agiert. Im Sinne von Due Diligence prüfen Unternehmen auch ihre Dienstleister im Facility Management auf Compliance und Sicherheitsstandards, um Haftungsrisiken zu minimieren (etwa durch Vertragsklauseln und regelmäßige Audits von Sicherheitsdienstleistern).

Ein weiterer Governance-Aspekt ist das Reporting. Führungskräfte benötigen transparente Informationen zur Sicherheits- und Risikolage, um fundierte Entscheidungen zu treffen. Daher sollte ein regelmäßiger Berichtswesen-Prozess etabliert sein: z.B. quartalsweise Sicherheitsberichte an den Vorstand oder ein Reporting in den Risikomanagement-Ausschuss. Diese Berichte umfassen typischerweise Kennzahlen (KPIs) und qualitative Bewertungen: etwa Anzahl und Schwere von Sicherheitsvorfällen im letzten Zeitraum, Ergebnisse von Audits und Notfallübungen, Status der Maßnahmenumsetzung, aktueller Risikolevel gegenüber Toleranzgrenzen, und besondere Emerging Risks. Im Fall schwerwiegender Zwischenfälle sind zudem Ad-hoc-Berichte vorgesehen (inkl. Lessons Learned nach der Bewältigung).

Extern gewinnt die Berichterstattung an Bedeutung. Im Lagebericht von Unternehmen werden oft wesentliche Risiken (inkl. Maßnahmen) erwähnt; im Rahmen von ESG-Reports berichten Firmen zunehmend über ihre Resilienz und Krisenvorsorge, was bei Investoren und Rating-Agenturen positiv bewertet wird. Auch kritische Infrastrukturen unterliegen gesetzlichen Melde- und Berichtspflichten gegenüber Behörden (BSI, Aufsichten). Ein strukturiertes Reporting trägt somit zur Accountability bei und schafft Vertrauen bei Stakeholdern, dass das Unternehmen seine Sicherheit im Griff hat.

Abschließend sei betont, dass Governance, Compliance und Reporting keine einmaligen Aufgaben sind. Sie bilden den kontinuierlichen Managementrahmen, in dem sich das operative Sicherheits- und Kontinuitätsmanagement bewegt. Durch Feedback-Schleifen (z.B. Auswertung von Berichten im Vorstand und Rückmeldung von Erwartungshaltungen) wird das System stetig verbessert und an veränderte Bedingungen angepasst. Diese institutionalisierte Verankerung stellt sicher, dass Sicherheits- und Kontinuitätsthemen weder im Tagesgeschäft untergehen noch isoliert betrachtet werden, sondern integraler Bestandteil der verantwortungsvollen Unternehmensführung sind.