Unternehmenssicherheitsmanagement: Sicherheitsschalen

Ein geschichteter Sicherheitsansatz wirkt sich positiv auf alle Phasen des Schutzprozesses aus – von der Vorbeugung über die Entdeckung bis zur Reaktion und Aufrechterhaltung des Betriebs. In der Präventionsphase (Gefahrenabwehr im Vorfeld) dienen äußere Schichten vor allem der Abschreckung und Verzögerung: Schon sichtbare Maßnahmen wie Zäune, Kameras oder Wachschutz an der Perimetergrenze dissuadieren potenzielle Täter und erhöhen deren Aufwand bzw. Risiko bei einem Angriff. Durch die gestaffelte Anordnung entstehen psychologische und physische Hürden, die die Wahrscheinlichkeit eines Angriffs verringern (Abhaltewirkung). Sollte ein Angriff dennoch stattfinden, ermöglichen die Schalen eine frühzeitige Detektion: Ein Eindringling wird idealerweise bereits an der Grundstücksgrenze entdeckt (z.B. Zaunalarm) – spätestens jedoch beim Überwinden der nächsten Schicht schlägt ein Sensor oder aufmerksames Personal Alarm. Somit dient jede weitere Schale als Detektionschance, falls die vorherige versagt.

Entscheidend ist dabei die Zeitkomponente: Jeder Ring fügt eine gewisse Verzögerung hinzu (etwa durch das Überwinden von Hindernissen oder Schleusen), was den Sicherheitskräften zusätzliche Reaktionszeit verschafft. Im Idealfall schafft es kein Eindringling bis zum Kern, bevor Gegenmaßnahmen ergriffen wurden. Offizielle Leitfäden betonen, dass mit jeder Schicht die kumulative Verzögerung wächst und so genügend Zeit entsteht, um einen Vorfall einzudämmen. (Eine schematische Timeline zeigt z.B., wie zwischen Breach Detected und Adversary Intercepted mehrere Barrieren durchlaufen werden müssen.) Die Reaktionsfähigkeit eines Sicherheitssystems steigt somit durch die Schalen: Während die äußeren Schichten vor allem der Prävention und Früherkennung dienen, sind die inneren Schichten darauf ausgelegt, Einbrüche lokal zu begrenzen, die Auswirkungen abzumildern und vitales Gut zu schützen, bis Security-Teams oder Polizei eingreifen können. Beispielsweise würde ein Alarm an der Außenhaut (z.B. Fensterbruchsensor) sofort interne Prozesse auslösen (Alarmmeldung an Leitstelle, Interventionsdienst rückt aus), während zusätzliche Türen oder Schleusen im Innern den Täter weiter aufhalten.

Auch für die Aufrechterhaltung des Betriebs und Objektschutzes (Resilienz) ist das Schalenprinzip zentral. Es verhindert single points of failure: Fällt eine Maßnahme aus, übernimmt eine andere Schicht teilweise deren Funktion. Zudem lassen sich je Schale Notfallpläne hinterlegen – z. B. kann bei Perimeter-Einbruch ein Werkschutztrupp mobilisiert werden, während ein Brand im Innenbereich durch automatische Löschung auf diesen Bereich begrenzt bleibt. Der gestaffelte Ansatz unterstützt so die Betriebskontinuität, weil selbst im Krisenfall nicht alle Schutzebenen gleichzeitig versagen. Im Ergebnis können Menschen und Sachwerte besser geschützt und der Geschäftsbetrieb stabil gehalten werden – ein Schlüsselfaktor insbesondere in sicherheitskritischen Branchen.

Ein mehrlagiges Sicherheitskonzept bietet vier Verteidigungslinien: Deter (Abschrecken), Detect (Entdecken), Delay (Verzögern) und Respond (Reagieren). Ergänzend kommt Recovery bzw. Aufrechterhaltung hinzu – die schnelle Wiederherstellung normaler Abläufe. Diese Schichten und Phasen greifen ineinander und ergeben ein robustes, tiefengestaffeltes Schutzsystem für Objekte und Betriebe.

Das Schalenkonzept darf nicht isoliert betrachtet werden, sondern ist eingebettet in das übergeordnete Sicherheitsmanagement eines Unternehmens. Unternehmenssicherheitsmanagement umfasst alle strategischen und operativen Aktivitäten zum Schutz von Mitarbeitern, Vermögenswerten, Informationen und Prozessen. Hier spielen neben der physischen Sicherheit (Objektschutz) auch IT-Sicherheit, Personalsicherheit, Compliance und Krisenmanagement eine Rolle. Ein gestaffeltes physisches Sicherheitskonzept muss daher auf die gesamtorganisatorischen Ziele und Richtlinien abgestimmt werden. Viele Firmen verfügen über eine Sicherheitsleitlinie oder -policy, die den Rahmen vorgibt – z. B. Schutzziele definiert, Verantwortlichkeiten zuweist und Grundsätze (wie das Schalenprinzip) festschreibt. Diese Leitlinie ist oft das führende Dokument des Sicherheitsmanagements und leitet die Erstellung konkreter Sicherheitskonzepte für Standorte, Gebäude und Anlagen an. Das Schalenmodell dient hierbei als strukturierendes Prinzip, um die Schutzbedürfnisse stufenweise abzubilden.

In der Praxis bedeutet Integration z.B., dass die Risikobewertung auf Management-Ebene (Welche Werte sind kritisch? Welche Bedrohungen priorisieren wir?) die Ausgestaltung der Schalen maßgeblich beeinflusst. Wichtig ist auch die Abstimmung mit anderen Sicherheitsbereichen: So müssen physische Zugangsbarrieren und IT-Zugangskontrollen Hand in Hand greifen (Stichwort Integrales Sicherheitskonzept). Etwaige Zielkonflikte – z.B. zwischen Sicherheit und Arbeitsabläufen oder Brandschutz – werden im Rahmen des ganzheitlichen Ansatzes ausbalanciert. Facility Manager arbeiten hierfür idealerweise eng mit Security Managern, IT-Leitern und Datenschutzbeauftragten zusammen (Stichwort Abteilungsübergreifende Integration). Moderne Standards wie ISO/IEC 27001 fordern explizit die Berücksichtigung physischer Sicherheit im Informationssicherheits-Managementsystem (ISMS). Ebenso verlangt das BSI IT-Grundschutz-Konzept, alle Liegenschaften und Gebäude in die Sicherheitsbetrachtung einzubeziehen. Ein holistisches Sicherheitsmanagement stellt so sicher, dass Schalenkonzepte mit Notfallmanagement, Business Continuity und Compliance verzahnt sind. Beispielsweise muss eine Zutrittskontrolle nicht nur Einbrüche verhindern, sondern auch datenschutzkonform ausgestaltet sein (Videoüberwachung, Besucherdaten).

Für Führungskräfte im Facility Management heißt das: Sie sollten das Schalenprinzip als Bestandteil eines umfassenden Sicherheitsprogramms verstehen. Es gilt, Strategie und operative Maßnahmen zu verknüpfen – von der Unternehmensleitung (Policy, Ressourcenbereitstellung) bis zur Umsetzung vor Ort (Technik, Personal). Nicht zuletzt ist die Kultur im Unternehmen wichtig: Sicherheitsbewusstsein der Mitarbeiter (z.B. keine „Hintertür“ auflassen, Meldung verdächtiger Beobachtungen) und ein klares Bekenntnis der Führung zu Sicherheit schaffen erst das Umfeld, in dem ein gestaffeltes Konzept voll wirksam wird. Sicherheitsmanagement bedeutet damit immer auch Change Management und Schulungsarbeit – technische Schichten alleine genügen nicht.

Die konkrete Umsetzung der Sicherheitsschalen hängt stark von der Branche und der Objektart ab. Büro- und Verwaltungsgebäude haben andere Anforderungen als Industrieanlagen oder kritische Infrastrukturen – auch wenn das Grundprinzip (abgestufte Zonen) gleich bleibt.

• Büroimmobilien (Verwaltungsgebäude): In Bürogebäuden liegt der Fokus oft auf Personenzutritt und Datenschutz. Hier beginnt die äußere Schale meist an der Gebäudegrenze (da ein umzäuntes Gelände in City-Lage selten ist). Empfangsbereiche fungieren als erste Sicherheitsschleuse: Besucher melden sich an, Zugang nur via Ausweiskarte oder durch Mitarbeiterbegleitung. Bauliche Maßnahmen sind z.B. vereinzelte Eingänge, ggf. Drehkreuze im Foyer. Technisch kommen Zutrittskontrollanlagen, Türöffner, Kameras im Eingangsbereich und ggf. Alarmanlagen außerhalb der Geschäftszeiten zum Einsatz. Organisatorisch müssen Besucherregister, Zutrittszonen pro Etage/Abteilung (z.B. nur Berechtigte per Karte auf bestimmten Stockwerken) und Mitarbeiterschulungen (Tailgating verhindern, Social Engineering erkennen) berücksichtigt werden. Ein Beispiel: Ein mehrstöckiges Firmengebäude könnte Zone 1 als öffentliches Foyer haben, Zone 2 für Büroumgebung (zugangskontrolliert), Zone 3 für sensible Abteilungen wie Vorstand oder HR (zusätzliche Authentifizierung) und Zone 4 für das Server- oder Dokumentenarchiv (hochgesichert, beschränkter Personenkreis). Dadurch wird auch intern ein räumliches Berechtigungsmanagement etabliert – jeder Mitarbeiter kommt nur in für ihn notwendige Bereiche. Auch Brandschutz- und Fluchtkonzepte greifen hier ein (z.B. müssen Schutztüren im Alarmfall freigegeben werden – Integration von Sicherheit und Sicherheitstechnik). Insgesamt steht bei Bürogebäuden die Balance zwischen offenem, zugänglichem Arbeitsumfeld und nötiger Sicherung im Vordergrund. Best Practice: regelmäßige Übungen (Evakuierung, Amok-Alarm) und Updates der Maßnahmen, z.B. nach einem Sicherheitsvorfall (Diebstahl eines Laptops führt zur Nachrüstung von Schrankschlössern etc.).

• Industrieanlagen (Werksgelände, Produktionsstätten): Industrieareale sind häufig weitläufig und beinhalten zusätzlich gesundheitliche und umweltsicherheitsrelevante Aspekte. Die äußere Schale ist hier meist ein umfriedetes Gelände mit Werkszaun und Tor. Perimeterschutz ist zentral: Zaunüberwachung, Video-Türme, ggf. Sensorik (Erdkabel oder Mikrowellensensoren entlang des Zauns). An Toren werden Zufahrtskontrollen mit Schranken, Sicherheitskontrolleuren und LKW-Check-in eingerichtet. Organisatorisch kommen Werksausweise, Fahrzeugs-Kontrollschleusen und Besuchererfassungen zum Tragen. In den inneren Schalen liegen Produktionshallen, Lager, Leitstellen – oft nochmals zoniert. Gefahrstofflager etwa bilden eine eigene Schutzzone mit Brand- und Einbruchmeldesystem und Zugang nur für Befugte mit Spezialschlüssel. In Chemie- oder Pharmawerken werden physische Sicherheit (Zaun, Wachdienst) und Prozess-Sicherheit (Verhinderung von Sabotage an Anlagen) verzahnt – d.h. die Schalen schützen nicht nur vor Diebstahl, sondern auch vor Anschlägen oder Spionage. Ein Beispiel: Ein Automobilwerk könnte Zone 1 als gesamtes Werksgelände haben, Zone 2 die einzelnen Hallen mit Zugangskontrolle, Zone 3 besonders teure/gefährliche Bereiche (Lackiererei mit lösemittelhaltigen Stoffen, Forschungslabore) und Zone 4 ein zentrales IT-Rechenzentrum im Werk. Die Maßnahmen reichen dort von Werkschutz-Streifen über biometrische Schranken in Entwicklungsbereiche bis zu Farbkodierungen von Mitarbeiterausweisen je Zone. Auch Arbeitssicherheit fließt ein: Unbefugter Zugang zu Maschinen kann lebensgefährlich sein – daher schützt Zutrittskontrolle hier Menschen und Anlage zugleich. Branchenstandards wie TAPA (für Logistiklager) geben konkrete Vorgaben z.B. zur Geländesicherung und Alarmaufschaltung bei Fracht-Diebstahl – ebenfalls Schalenprinzip (Außenzaun, Gebäude, wertvolle Frachtbereiche). Insgesamt gilt in der Industrie: Kombination von Objektschutz und Werkschutz. Zudem wird eng mit Behörden kooperiert (Störfallverordnung: Sicherheitsberichte, Zusammenarbeit mit Feuerwehr/Polizei), was in Notfällen, Übungen und der gemeinsamen Abstimmung der Schutzkonzepte resultiert.

• Kritische Infrastrukturen (KRITIS) und Hochsicherheitsbereiche: Hierunter fallen z.B. Energieanlagen (Kraftwerke, Umspannwerke), Wasserwerke, Telekommunikationsknoten, Rechenzentren, Flughäfen/Bahnhöfe, Militär- und Regierungsgebäude, Krankenhäuser etc. Diese haben meist die strengsten Sicherheitsanforderungen, da ein Ausfall massive Auswirkungen hat. Typisch ist ein mehrstufiges Zonenkonzept mit Kombination aus Mensch und Technik. Beispiel Rechenzentrum: Zone 1 Allgemeinbereich ums Gebäude (evtl. mit Sicherheitszaun, Parkplatzkontrolle), Zone 2 Empfang und Anlieferzone (mit Röntgenscannern für Lieferungen, Personenschleusen), Zone 3 technische Infrastruktur (USV-Räume, Netzwerkräume – nur für Authorisierte, Ausweiskontrolle + biometrisch), Zone 4 Serverraum (höchste Schutzstufe, Zugang nur zu zweit, vollständige Kameraüberwachung). DIN EN 50600 schreibt genau dieses vor, inkl. lückenloser Umschließung sensibler Zonen durch weniger sensitive, keine „direkten Abkürzungen“ und umfassende Dokumentation. In Kernkraftwerken kennt man physische Barrieren vom Zaun mit Detektionsanlage über bewaffnete Security vor Ort bis hin zu redundanten Leit- und Schutzsystemen innen (verteilt auf mehrere Schalen). Flughäfen sind ebenfalls nach Zonen organisiert: öffentlich (Terminalvorfahrt), eingeschränkt (Terminal nach Sicherheitskontrolle) und kritisch (Vorflugbereich, Cockpit, Tower) mit jeweils strengeren Maßnahmen – gesetzlich geregelt durch Luftsicherheitsgesetz und EU-Verordnungen. Ähnlich Krankenhäuser: öffentlich zugängliche Bereiche vs. OP-Trakt oder Apothekenlager (Schutzzone) vs. EDV-Zentrale (höhere Zone). Kritische Infrastrukturen unterliegen oft Audits durch Aufsichtsbehörden (BSI für KRITIS-IT, Bundesnetzagentur, etc.), die ein schlüssiges Schichtenschutzkonzept verlangen. Ein Vorzeige-Beispiel ist etwa ein Rechenzentrum, das nach EN 50600 Klasse 4 zertifiziert ist: Es verfügt u.a. über außenliegenden Schutz (Schiebetore, Videoüberwachung mit Langzeitspeicherung), einen security perimeter im Gebäude mit Schleusen und Vereinzelung, bereichsbezogene Zugangsstufen und permanentes Monitoring aller Aktivitäten. Selbst Notfallprozesse (z.B. große Lieferungen von Servern) müssen hier streng zonenkonform ablaufen, wie ein Beispiel zeigt: Containerlieferungen dürfen nur in speziell gesicherte Schleusen entladen werden, damit nie mehrere Sicherheitstüren gleichzeitig offen sind – was technische Verriegelungen sicherstellen. Diese Detailtiefe ist kennzeichnend für Hochsicherheitsobjekte. Wichtig in KRITIS-Objekten ist zudem die Verzahnung mit öffentlichen Stellen: Polizeischutz, Meldewege bei Angriffen (z.B. Cyberangriff aufs Netz-Leitzentrum -> Alarm ans BSI) und oft ein hoher Grad an Ausfallsicherheit (Redundanzen), der ebenfalls Teil des Schichtenkonzepts ist (z.B. Reserve-Leitstelle an anderem Ort = zusätzliche „Schale“ in Organisationsebene).

Am Anfang jeder fundierten Sicherheitsarchitektur steht die Risikobeurteilung: Man muss die möglichen Bedrohungen und Schwachstellen kennen, um die richtigen Maßnahmen (Schichten) zu bestimmen. Im Sicherheitskontext umfasst dies eine Gefährdungsanalyse: Welche Szenarien drohen? (Einbruch, Sabotage, Spionage, Vandalismus, Insiderdelikt, Naturkatastrophen, etc. – je nach Umfeld sehr unterschiedlich). Gleichzeitig wird der Schutzbedarf der Assets ermittelt: Was sind die Kronjuwelen des Unternehmens? (z.B. vertrauliche Forschungsdaten, teure Produktionsmaschinen, personenbezogene Daten). Das Produkt aus Bedrohung * Eintrittswahrscheinlichkeit * Schaden bildet das Risiko. Priorisierte Risiken geben vor, welche Schale besonders robust sein muss. Beispielsweise mag in einem Rechenzentrum das Risiko „Stromausfall“ hoch bewertet sein – dementsprechend wird in der Kern-Schicht eine Notstromversorgung vorgesehen (während bei einem Bürogebäude eher Diebstahl oder Feuer im Vordergrund stehen).

Teil der Risikobeurteilung ist eine Schwachstellenanalyse der bestehenden Sicherheitsmaßnahmen. Hier werden Lücken identifiziert: Gibt es blinde Flecken in der Videoüberwachung? Lassen sich Besucher zu leicht ins Gebäude einschleusen? Fehlen Notfallprozeduren? Solche Audits führen oft zu konkreten Empfehlungen, z.B. zusätzliche Kameras oder bessere Ausweisprüfungen. Tools wie Penetrationstests (auch physisch – Testeinbrüche), Security Surveys oder der Abgleich mit Checklisten (z.B. BSI-Grundschutz oder VdS-Quick-Checks) unterstützen dies. Die Analyse sollte regelmäßig wiederholt werden (mind. jährlich oder bei Änderungen), um neuen Gefahren Rechnung zu tragen. Ein Beispiel: Ein Unternehmen stellt fest, dass der Empfang nur bis 18 Uhr besetzt ist, aber Mitarbeiter oft länger arbeiten – abends könnte also jemand unbemerkt ins Gebäude gelangen. Die Schwachstellenanalyse würde das aufdecken und man könnte organisatorisch reagieren (z.B. Zugang nach 18 Uhr nur mit Ausweiskarte + Security-Rundgang).

Auf Basis von Risiko- und Schwachstellenbewertung erfolgt die Planung der Maßnahmen je Schale. Wichtig ist hier auch das Notfall- und Krisenmanagement: Es bildet im Grunde eine zusätzliche Schicht – nämlich die organisatorische Fähigkeit, auf einen eingetretenen Sicherheitsvorfall zu reagieren, Schaden zu begrenzen und den Betrieb rasch wieder aufzunehmen. Notfallmanagement umfasst Notfallpläne (Alarmierungspläne, Evakuierungspläne, Notfallhandbücher), Übungen (Feueralarmprobe, Sicherheitsdrill) und Business Continuity Maßnahmen (Backup-Standorte, Redundanzen). Ein gestaffeltes Sicherheitskonzept erleichtert das Notfallmanagement, weil klar umrissene Zonen eine lokalisierte Reaktion ermöglichen. Beispiel: Wenn die Alarmanlage in Zone 2 anschlägt (Gebäudehülle – Fenster eingeschlagen), kann der Wachdienst gezielt dorthin entsandt werden, während Zone 3 und 4 in einen Lockdown gehen. Es ist essenziell, dass für jede Sicherheitsstufe Reaktionspläne bestehen: vom einfachen Fehlalarm-Prozedere bis zur komplexen Krisenstabs-Einberufung bei einem Anschlag. ISO 22361 legt hier den Fokus auf die strategische Vorbereitung solcher Abläufe.

Die Risikobewertung beeinflusst auch maßgeblich die Dimensionierung der Schalen. Ein hoher Risiko-Score kann bedeuten, dass man eine zusätzliche Schale einführt (z.B. Wachschutz als äußere mobile Schicht) oder eine bestehende verstärkt. Beispielsweise im Einzelhandel: Bei erhöhtem Überfallrisiko wird evtl. ein Sicherheitsdienst vor dem Ladengeschäft positioniert – eine temporäre „äußere Schale“. Oder wenn Analysen zeigen, dass interne Täter ein Risiko sind, richtet man streng kontrollierte Innenzonen ein. Continuous Improvement: Nach jedem Vorfall und jeder Übung sollte eine Nachanalyse (lessons learned) erfolgen, um Schwachstellen weiter zu schließen. So entwickelt sich das Sicherheitskonzept iterativ weiter.