Blog

Du betrachtest gerade Ganzheitliches Sicherheitsmanagement: Brücken bauen zwischen Safety, Security und IT-Sicherheit

Ganzheitliches Sicherheitsmanagement: Brücken bauen zwischen Safety, Security und IT-Sicherheit

Warum ein integrierter Sicherheitsansatz heute unerlässlich ist

Die heutige Arbeitswelt steht unter dem Zeichen tiefgreifender Veränderungen. Digitalisierung, neue Geschäftsmodelle, globale Wertschöpfungsketten und die zunehmende Bedrohungslage – von Cyberattacken bis hin zu geopolitischen Krisen – haben das Risikoprofil von Unternehmen, Behörden und Bildungseinrichtungen grundlegend verändert. Die Anzahl der Schnittstellen zwischen Menschen, Technik und Organisation wächst rasant. Gleichzeitig steigen die gesetzlichen Anforderungen, etwa durch das Lieferkettensorgfaltspflichtengesetz, das IT-Sicherheitsgesetz 2.0 oder die regelmäßigen Novellierungen der DGUV-Vorschriften. Vor diesem Hintergrund ist ein ganzheitlicher Sicherheitsansatz nicht nur zeitgemäß, sondern überlebenswichtig. Die Frage ist längst nicht mehr, ob, sondern wie umfassend Sicherheit gedacht und gelebt werden muss.

Analyse: Warum klassische Abgrenzungen nicht mehr reichen

In der Praxis wurden Arbeitssicherheit, Objektschutz und IT-Sicherheit traditionell oft als voneinander getrennte Disziplinen organisiert. Dieses Silodenken führt jedoch zu gefährlichen Schnittstellen, an denen Risiken unentdeckt bleiben und Verantwortlichkeiten verschwimmen. So kann beispielsweise ein Ausfall der IT durch einen Cyberangriff zu einem Produktionsstillstand und in der Folge zu physischen Gefährdungen führen, etwa wenn Alarmsysteme, Lüftungsanlagen oder Maschinensteuerungen betroffen sind. Umgekehrt können Unfälle im Bereich der Arbeitssicherheit (z. B. Fehlbedienung von Maschinen) auch sicherheitsrelevante IT-Systeme kompromittieren. Solche Beispiele zeigen: Echte Sicherheit ist immer mehrdimensional und entsteht nur im Zusammenspiel aller relevanten Bereiche.

Gleichzeitig verlangt der Gesetzgeber – und zunehmend auch Kunden, Versicherungen und Aufsichtsbehörden – Nachweise für wirksame, integrierte Managementsysteme. Die Standards der ISO 45001 (Arbeits- und Gesundheitsschutzmanagement), ISO/IEC 27001 (Informationssicherheitsmanagement), DIN EN 50600 (Gebäudesicherheit) und das IT-Grundschutz-Kompendium des BSI spiegeln diese Entwicklung wider. Wer hier frühzeitig auf Integration setzt, spart Ressourcen, verbessert die Kommunikation und stärkt seine Widerstandsfähigkeit.

Wesentliche Aspekte eines ganzheitlichen Sicherheitsmanagements im Überblick:

  • Physische Sicherheit: Gebäudesicherheit, Zugangskontrollen, Überwachungssysteme, Sabotageprävention

  • IT-Sicherheit: Cyberabwehr, Datenschutz, Schutz sensibler Daten, Umsetzung der Anforderungen aus IT-Grundschutz und NIST

  • Arbeitsschutz: Prävention von Unfällen und arbeitsbedingten Gesundheitsgefahren, Maßnahmen nach DGUV

  • Umweltsicherheit: Schutz vor Umweltgefahren, Einhaltung umweltrechtlicher Standards, Nachhaltigkeit

  • Reputationssicherheit: Krisenkommunikation, Schutz des Unternehmensimages, Social Engineering-Prävention

  • Finanzielle Sicherheit: Schutz vor Betrug, Wirtschaftskriminalität und Haftungsrisiken

  • Lieferkettensicherheit: Resiliente Liefernetzwerke, Risikoanalysen in der Supply Chain, Notfallkonzepte

  • Kulturelle Sicherheit: Förderung einer Sicherheitskultur, Sensibilisierung und Schulung aller Beschäftigten

Gerade in kleinen und mittleren Unternehmen (KMU), kritischen Infrastrukturen (KRITIS) und Bildungseinrichtungen reicht es nicht, einzelne Aspekte isoliert zu betrachten. Die Risiken – vom Datenklau über physische Angriffe bis zu Haftungsfragen – lassen sich nur gemeinsam beherrschen.

Best Practices & Lösungsansätze: Methoden und Prozesse

1. Risikomanagement – Das Fundament der Prävention

Das Rückgrat jeder nachhaltigen Sicherheitsstrategie ist ein wirksames, bereichsübergreifendes Risikomanagement. Die Gefährdungsbeurteilung bleibt dabei das zentrale Werkzeug, um Risiken systematisch zu erfassen, zu bewerten und zielgerichtet zu minimieren – gesetzlich vorgeschrieben im Arbeitsschutz (§5 ArbSchG) und als zentrale Forderung in der ISO 27001 für die IT-Sicherheit.

Ein moderner Ansatz verbindet Methoden wie SWOT-Analyse, FMEA (Fehlermöglichkeits- und Einflussanalyse), Szenarien-Workshops und digitale Risiko-Monitoring-Systeme. Entscheidend ist, alle Stakeholder einzubinden: Geschäftsführung, Fachkraft für Arbeitssicherheit (SiFa), IT-Leitung, Betriebsrat, externe Partner. Ziel ist ein gemeinsames Verständnis für die Risikolandschaft, abgestimmt auf das jeweilige Unternehmen.

Kernschritte der systematischen Risikobeurteilung:

  • Identifikation aller relevanten Risiken (physisch, technisch, organisatorisch, personenbezogen)

  • Einschätzung des Schadenspotenzials und der Eintrittswahrscheinlichkeit

  • Priorisierung (z. B. durch Risiko-Matrix oder Heatmaps)

  • Maßnahmenplanung nach dem STOP-Prinzip (Substitution, technische, organisatorische, personelle Maßnahmen)

  • Umsetzung, Dokumentation und Wirksamkeitskontrolle

  • Regelmäßige Überprüfung und Anpassung („lebendes System“)

Die Verzahnung der Analysen aus Arbeitssicherheit, Objektschutz und IT-Risikomanagement ist zentral: So kann zum Beispiel das gleiche Asset – ein Serverraum – sowohl Brand- als auch Sabotagerisiko bergen. Erst durch die Zusammenführung der Perspektiven lassen sich Doppelarbeiten vermeiden und Wechselwirkungen erkennen.

2. Incident & Accident Management – Aus Fehlern und Ereignissen lernen

Kein System ist vollkommen sicher. Umso wichtiger ist ein etabliertes Verfahren zur Behandlung von Störungen, Unfällen und Sicherheitsvorfällen – im Arbeitsalltag wie in der IT. Die Unfallanalyse dient nicht der Schuldzuweisung, sondern dem systematischen Erkennen von Ursachen und Mustern. In der Praxis haben sich strukturierte Methoden wie die Root-Cause-Analysis, 5-Why-Analyse oder Ishikawa-Diagramme bewährt.

Gerade das konsequente Erfassen und Analysieren von Beinahe-Unfällen (Near Misses) ist ein Frühwarnsystem, das oft unterschätzt wird. Digitale Meldeplattformen, anonyme Berichte und die offene Kommunikation über Fehler helfen, eine echte Lernkultur zu etablieren. Entscheidend: Die Melder erhalten immer eine Rückmeldung, und jede Meldung wird als Chance zur Verbesserung verstanden.

Im IT-Bereich sind Vorfallmanagement und Forensik zentrale Säulen. Ein Incident-Response-Plan sollte klar regeln, wer was wann und wie macht – von der Erstmeldung bis zur Nachsorge. Die Dokumentation aller Schritte, die rechtskonforme Beweissicherung und das Lernen aus Vorfällen sind unverzichtbar. Notfallübungen und IT-Forensik-Trainings stärken zudem die Reaktionsfähigkeit.

Praktische Maßnahmen für die Umsetzung:

  • Einrichtung einer zentralen Meldestelle für Unfälle, Beinahe-Ereignisse und IT-Vorfälle

  • Schulung aller Mitarbeitenden zur Erkennung und Meldung von Gefährdungen

  • Regelmäßige Auswertung und Rückspiegelung der Vorfälle („Lessons Learned“-Workshops)

  • Dokumentation und Pflege einer Vorfalldatenbank (z. B. für Audits nach ISO 27001 oder ISO 45001)

3. Kontinuierliche Verbesserung – Sicherheit als lernendes System

Sicherheitsmanagement ist kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungsprozess. Audits und Inspektionen – intern oder durch externe Stellen – sind zentrale Bausteine, um Lücken zu erkennen und Prozesse zu optimieren. Grundlage sind Standards wie ISO 19011 (Auditierung von Managementsystemen), BSI-Prüfverfahren oder branchenspezifische Vorgaben (z. B. für KRITIS-Betreiber).

Wichtige Instrumente sind regelmäßige Betriebsbegehungen durch interdisziplinäre Teams, Mitarbeitendenbefragungen, sowie die systematische Auswertung von Vorfällen und Beinahe-Unfällen. Die Fortschreibung der Gefährdungsbeurteilung erfolgt anlassbezogen (z. B. nach Unfällen, bei neuen Technologien, veränderten Prozessen oder Gesetzesänderungen) und in festgelegten Intervallen.

Best-Practice-Ansätze für die Praxis:

  • Einführung eines digitalen Audit- und Maßnahmenmanagement-Tools

  • Etablierung eines kontinuierlichen Verbesserungsprozesses (KVP) mit klaren Verantwortlichkeiten

  • Nutzung von Lessons-Learned-Workshops nach Übungen, Vorfällen oder Projekten

  • Visualisierung von Risiken und Maßnahmen (z. B. mit Dashboards)

  • Verankerung von Sicherheit als zentrales Thema im Qualitätsmanagement

Praxis-Transfer: Rollen, Verantwortlichkeiten und Unternehmenskultur

Ein erfolgreiches Sicherheitsmanagement ist immer Teamarbeit – und braucht klare, gelebte Rollenbilder. In KMU, Schulen und Kliniken sind die Ressourcen oft begrenzt. Umso wichtiger ist es, Verantwortlichkeiten eindeutig zu regeln, Kompetenzen zu bündeln und Schnittstellen im Blick zu behalten.

  • Arbeitgeber / Institutionsleitung: Strategische Gesamtverantwortung, Entwicklung und Freigabe der Sicherheitsstrategie, Bereitstellung von Ressourcen und Vorbildfunktion. Die Leitung muss Sicherheit sichtbar und messbar machen (z. B. mit Zielen und KPIs) und die Kultur fördern.

  • Fachkraft für Arbeitssicherheit (SiFa): Beratende Expertenrolle, Durchführung und Fortschreibung der Gefährdungsbeurteilung, Unterstützung bei Unfallanalysen, Auswahl von PSA, Organisation von Unterweisungen und Workshops. Sie vernetzt sich mit IT und Objektmanagement.

  • Sicherheitsbeauftragte (SiBe): Bindeglied zwischen Belegschaft und Leitung, Ansprechpartner für alle Sicherheitsfragen im Alltag, Identifikation und Meldung von Risiken, Förderung des sicherheitsbewussten Handelns durch Präsenz und Ansprache.

  • Betriebsarzt: Verantwortlich für arbeitsmedizinische Vorsorge, Beratung zu ergonomischer Arbeitsplatzgestaltung, Unterstützung bei der Analyse psychischer Belastungen, Impulsgeber für Gesundheitsförderung.

  • Betriebsrat / Personalvertretung: Beteiligung an allen wesentlichen Entscheidungen, insbesondere bei Gefährdungsbeurteilungen, Datenschutz und arbeitsrechtlichen Fragen. Mitwirkung bei der Entwicklung und Überwachung von Maßnahmen.

  • Informationssicherheitsbeauftragter (ISB): Aufbau, Pflege und Kontrolle des Informationssicherheitsmanagementsystems (ISMS), Schulung der Mitarbeitenden, Überprüfung der Einhaltung von Richtlinien, Mitwirkung bei Notfallübungen.

  • Mitarbeitende: Zentrale Rolle, da sie die Experten für ihre eigenen Arbeitsplätze sind. Ihre Mitwirkung bei der Identifikation von Gefahren, der Entwicklung von Lösungen und der Pflege einer positiven Sicherheitskultur ist erfolgsentscheidend.

Gerade die Unternehmenskultur entscheidet, ob Sicherheitsmaßnahmen akzeptiert und gelebt werden. Führungskräfte prägen die Haltung – offener Umgang mit Fehlern, Transparenz über Ziele und Kennzahlen, regelmäßige Kommunikation (z. B. Sicherheitsmeetings, Newsletter) und das Feiern von Erfolgen fördern Motivation und Engagement.

Widerstände sind dabei normal: Veränderung erzeugt Unsicherheit, teils auch Angst vor Sanktionen. Psychologisch klug ist es, nicht nur auf Pflichten, sondern auf den persönlichen und unternehmerischen Nutzen von Sicherheit zu fokussieren: Gesundheit, Verlässlichkeit, Resilienz, Wettbewerbsfähigkeit. Schulungen, Mentorenprogramme und die Förderung von „Safety Champions“ schaffen Identifikation und Nachhaltigkeit.

Ausblick: Zivile Verteidigung, Resilienz und neue Bedrohungen

Das Thema Sicherheit endet nicht am Werkstor oder beim letzten Server. Die gesamtgesellschaftlichen Herausforderungen – Klimawandel, Versorgungsengpässe, politische Instabilität, neue Angriffsformen (z. B. Drohnen, Deepfakes, Bioterror) – rücken das Konzept der Zivilen Verteidigung in den Mittelpunkt.

Die „Konzeption Zivile Verteidigung“ (KZV, 2016) fordert eine gesamtstaatliche Resilienz. Praktisch bedeutet das: Vorbereitung auf das Unerwartete, Aufbau robuster Strukturen, Kooperation zwischen Staat, Wirtschaft und Bevölkerung. Insbesondere für KRITIS-Betreiber gelten verschärfte Anforderungen – etwa die Verpflichtung zu Risikoanalysen, Notfallplänen, Redundanzstrategien und Übungen. Die Fähigkeit, auch im Krisenfall handlungsfähig zu bleiben (Business Continuity), ist der neue Maßstab.

Gerade die Lieferkettensicherheit hat durch Pandemien und geopolitische Konflikte enorm an Bedeutung gewonnen. Unternehmen sind aufgefordert, kritische Abhängigkeiten zu identifizieren, alternative Bezugsquellen vorzuhalten (Just-in-Case), Krisenstäbe zu bilden und regelmäßig Szenarien zu trainieren. Ebenso rückt die Rolle des Menschen als Schwachstelle wie auch als Ressource stärker in den Fokus – von Social Engineering bis zu psychologischer Resilienz.

Empfohlene Maßnahmen für die Praxis:

  • Aufbau und Pflege eines Business-Continuity-Management-Systems (BCMS) nach ISO 22301

  • Durchführung von Krisenstabsübungen und Notfalltrainings (z. B. Blackout, Cyberangriff, Pandemie)

  • Etablierung eines Krisenkommunikationsplans und regelmäßige Schulung der Belegschaft

  • Zusammenarbeit mit Behörden, Feuerwehr, Polizei und weiteren relevanten Akteuren

Fazit: Sicherheit als Daueraufgabe und Erfolgsfaktor

Ganzheitliches Sicherheitsmanagement ist weit mehr als die Addition von Teilbereichen. Es ist eine strategische Führungsaufgabe, die das Zusammenspiel technischer, organisatorischer und menschlicher Faktoren verlangt. Nur wenn alle Beteiligten – von der Führung bis zur Basis – ein gemeinsames Verständnis und ein klares Zielbild haben, kann Resilienz entstehen.

Sicherheit ist dabei kein Zustand, sondern eine Reise: Sie beginnt mit Sensibilisierung, setzt sich fort in gelebten Prozessen, gegenseitiger Unterstützung und der Bereitschaft, aus Fehlern zu lernen. Sie ist der stabile Kompass, der Unternehmen, Bildungseinrichtungen und Behörden auch in unsicheren Zeiten Orientierung gibt. Wer Sicherheit als Innovationstreiber versteht, wird nicht nur Risiken reduzieren, sondern neue Chancen erschließen und den Erfolg nachhaltig sichern.

Wie beim Bau eines Hauses gilt: Nur wenn Fundament, Wände und Dach regelmäßig geprüft, gepflegt und instandgehalten werden, bleibt die Struktur tragfähig. Isolierte Einzelmaßnahmen führen langfristig zu Rissen. Erst das Zusammenspiel – von IT über Arbeitsschutz bis zu organisatorischen Maßnahmen – sorgt für echte, nachhaltige Sicherheit.

Checkliste für die Praxis

  • Sicherheitsanalysen und -beurteilungen bereichsübergreifend denken und zusammenführen
  • Rollen und Verantwortlichkeiten klar und verbindlich regeln
  • Mitarbeitende aktiv einbinden, regelmäßig schulen und motivieren
  • Risikomanagement und Prävention als lebendige, dynamische Prozesse etablieren
  • Sicherheitskultur fördern und als Leitmotiv offen kommunizieren
  • Kontinuierliche Verbesserung (KVP) im Sicherheitsmanagement verankern
  • Notfallmanagement und Krisenübungen regelmäßig durchführen
  • Zusammenarbeit mit Behörden und externen Partnern stärken

Reflexionsfragen

  • Wo gibt es in unserem System noch Silos oder Schnittstellen, die Risiken erzeugen?
  • Welche Synergien könnten wir mit anderen Bereichen heben?
  • Wie können wir Führungskräfte und Mitarbeitende noch stärker für Sicherheit begeistern?
  • Welche Übungen, Tools oder Prozesse fehlen noch, um die Resilienz zu steigern?
  • Was haben wir in der letzten Krise gelernt – und wie nutzen wir dieses Wissen?

🛡️ Sicherheit im Fokus – Bleiben Sie informiert!

✅ Aktuelle Blogbeiträge
✅ Neuigkeiten und Wissenswertes aus meinen Büchern
✅ Relevante Trends und Entwicklungen aus der Sicherheitsbranche

Wir senden keinen Spam! Erfahre mehr in unserer Datenschutzerklärung.

Dieser Artikel wurde durch den Einsatz von KI-gestützten Tools optimiert, um Ihnen die bestmögliche Qualität zu bieten. Alle Inhalte werden sorgfältig geprüft und finalisiert. Mehr über meinen verantwortungsvollen Umgang mit KI und Datenschutz erfahren Sie auf meiner Seite zur Arbeitsweise.

Schlagwörter:

Schreibe einen Kommentar