Sicherheit
Wer nach „Sicherheitskonzept erstellen" sucht, landet fast ausnahmslos bei IT-Sicherheit: Firewalls, Penetrationstests, Datenschutzrichtlinien. Dabei ist das physische Sicherheitskonzept die ältere, greifbarere Disziplin — sie schützt Menschen, Gebäude und Sachwerte vor handfesten Bedrohungen. Dieser Artikel behandelt ausschließlich die physische Seite.
Das Ungleichgewicht im Netz hat einen einfachen Grund: IT-Beratungsunternehmen investieren stark in SEO und Content-Marketing. Physische Sicherheit ist ein Handwerk, das traditionell über Empfehlung und direkte Beauftragung funktioniert. Die Folge: Wer als Unternehmer oder Sicherheitsverantwortlicher ein physisches Sicherheitskonzept für sein Objekt entwickeln will, findet online kaum brauchbare Grundlagen.
Das ändert sich hier.
Zwei Disziplinen, ein Begriff
Ein physisches Sicherheitskonzept ist ein dokumentiertes Regelwerk, das beschreibt, wie ein konkretes Objekt — ein Firmengelände, ein Gebäude, eine Veranstaltungsstätte — vor physischen Bedrohungen geschützt wird. Es umfasst Risikoanalyse, bauliche und technische Maßnahmen, personellen Einsatz sowie Notfall- und Krisenplanung. Umfang und Tiefe richten sich nach Art und Gefährdungslage des Objekts.
IT-Sicherheit schützt Daten, Netzwerke und Software. Physische Sicherheit schützt das, was man anfassen kann: Gebäudezugänge, Server-Räume, Lagerbestände, Mitarbeiter. Beide Bereiche greifen ineinander — ein Rechenzentrum braucht beides — aber sie folgen unterschiedlichen Methoden, Gesetzen und Fachkompetenzen.
Dieser Artikel beschränkt sich bewusst auf physische Sicherheit. Wer ein IT-Sicherheitskonzept benötigt, ist hier falsch.
Was ein physisches Sicherheitskonzept enthält
Gefährdungsbeurteilung und Risikoanalyse
Jedes seriöse Konzept beginnt mit einer ehrlichen Bestandsaufnahme: Welche Bedrohungen sind für dieses Objekt, an diesem Standort, in dieser Branche realistisch? Die Antwort ist selten generisch. Ein Pharmaunternehmen in einem Industriegebiet hat ein anderes Risikoprofil als ein Juweliergeschäft in der Fußgängerzone oder ein Rechenzentrum am Stadtrand.
Externe Faktoren fließen ebenso ein wie interne: Kriminalitätsstatistiken der Nachbarschaft, öffentlicher Zugang zum Gelände, Attraktivität der gelagerten Güter — aber auch interne Aspekte wie Mitarbeiterfluktuation, Zugriffsrechte auf sensible Bereiche, bekannte Schwachstellen in bestehenden Prozessen.
Der Unterschied zwischen einer generischen Risikoliste und einer standortspezifischen Analyse ist erheblich. Eine Liste zählt auf, was grundsätzlich möglich ist. Eine Analyse bewertet, was hier wahrscheinlich und was hier folgenreich ist. Nur letztere rechtfertigt gezielte Gegenmaßnahmen — und vermeidet teure Überabsicherung an der falschen Stelle.
Zutrittskontrolle und Perimeterschutz
Wer darf wann wohin? Diese Frage ist einfacher gestellt als beantwortet. Ein funktionierendes Zutrittskontrollsystem beginnt nicht mit der Auswahl von Kartenlesern, sondern mit der Zonierung des Objekts: Welche Bereiche sind öffentlich zugänglich, welche nur für Mitarbeiter, welche nur für bestimmte Rollen?
Technische Systeme — Transponder, Biometrie, Videoüberwachung, automatische Schranken — sind Mittel, keine Lösung. Ein Kartenlesersystem schützt nichts, wenn Mitarbeiter regelmäßig Türen für Kollegen aufhalten oder Besucherausweise nicht zurückgefordert werden. Technik und Verfahren müssen zusammenpassen.
Der Perimeterschutz beginnt außen: Zäune, Poller, Beleuchtung, Außenkameras. Deren Dimensionierung richtet sich nach der Gefährdungsbeurteilung — nicht nach dem, was der nächste Sicherheitshändler gerade auf Lager hat. Mehr Technik ist nicht automatisch mehr Sicherheit. Mehr passgenaue Technik schon.
Personelle Sicherheitsmaßnahmen
Technische Systeme erkennen Abweichungen. Sicherheitspersonal reagiert darauf — und schafft die menschliche Präsenz, die Technik allein nicht leisten kann. Die Qualifikation des eingesetzten Personals ist dabei keine Nebensache.
In Deutschland ist die Sachkundeprüfung nach § 34a GewO der gesetzliche Mindeststandard für bewachende Tätigkeiten. Für anspruchsvollere Einsätze — Werkschutz in kritischer Infrastruktur, leitende Funktionen im Objektschutz — sind weitergehende Qualifikationen Standard. Ein professionelles Konzept legt die Anforderungsprofile für jede Sicherheitsrolle fest, nicht nur die Anzahl der Köpfe.
Werkschutz, Empfangsdienst und mobile Patrouille erfüllen unterschiedliche Funktionen. Welche Kombination für ein Objekt sinnvoll ist, ergibt sich aus dem Schutzziel — und aus einem realistischen Dienstplan, der Schichtübergaben, Pausenzeiten und Krankheitsausfälle einbezieht. Ein Konzept, das im Regelbetrieb funktioniert, aber beim ersten Krankheitsfall zusammenbricht, ist kein Konzept.
Technische Sicherheitssysteme
Einbruchmeldeanlagen, Videoüberwachung, Zutrittskontrollsysteme, Brandmeldeanlagen — in den meisten Objekten sind diese Systeme bereits vorhanden. Die Frage ist selten, ob Technik existiert, sondern ob sie zusammenarbeitet und ob jemand auf ihre Meldungen reagiert.
Videoüberwachung in Deutschland unterliegt der DSGVO. Kameras im öffentlich zugänglichen Bereich erfordern Hinweisschilder, eine Datenschutz-Folgenabschätzung bei systematischer Überwachung und klare Löschfristen. Wer das ignoriert, riskiert Bußgelder — und eine Überwachungsanlage, die im Streitfall rechtlich nicht verwertbar ist.
Besonders kritisch ist die Integration: Ein Alarmsystem, das zwar auslöst, dessen Meldung aber nur auf einem unbewachten Bildschirm aufläuft, hat keinen Schutzwert. Dasselbe gilt für Zugangssysteme ohne zentrale Protokollierung oder Kameras ohne Aufzeichnung. Das Konzept muss definieren, wer was wann sieht — und was dann passiert.
Regelmäßige Wartungs- und Prüfzyklen gehören zwingend ins Konzept. Eine Einbruchmeldeanlage, deren letzte Prüfung drei Jahre zurückliegt, ist eine falsche Sicherheit.
Notfall- und Krisenpläne
Ein Sicherheitskonzept endet nicht bei der Prävention. Was passiert, wenn trotzdem etwas schiefgeht? Evakuierungspläne, Alarmierungsketten, Eskalationsstufen und die Schnittstellen zu Polizei, Feuerwehr und Rettungsdiensten müssen schriftlich festgelegt und regelmäßig geübt sein.
Die Praxis zeigt: Notfallpläne, die nicht geübt werden, funktionieren im Ernstfall nicht. Mitarbeiter, die eine Evakuierungsroute nie abgelaufen sind, verlieren in Stresssituationen wertvolle Minuten. Kommunikationsketten, die auf Papier existieren aber nie getestet wurden, reißen beim ersten Ausfall ab.
Krisenszenarien sollten realistisch, nicht dramatisch sein: Ein Wassereinbruch im Serverraum ist wahrscheinlicher als eine Geiselnahme. Das Konzept priorisiert nach Eintrittswahrscheinlichkeit und Schadenshöhe — und benennt klare Verantwortliche für jedes Szenario.
Warum Vorlagen und Muster scheitern
Online kursieren zahlreiche Vorlagen für Sicherheitskonzepte: Word-Dokumente mit Platzhaltern, PDF-Leitfäden aus Behördenhandlungen, Excel-Checklisten von Versicherungsverbänden. Sie sind nicht wertlos — aber sie sind auch kein Sicherheitskonzept.
Eine Vorlage gibt Struktur. Sie definiert, welche Abschnitte ein Konzept haben sollte. Sie sagt aber nichts darüber aus, was in diesen Abschnitten stehen muss — weil das von Ihrem Objekt, Ihrer Branche, Ihrer Gefährdungslage abhängt. Zwei Firmen auf demselben Gewerbepark können völlig unterschiedliche Sicherheitskonzepte brauchen, wenn eine Pharmawirkstoffe lagert und die andere Büromöbel.
Rechtlich wird es noch spezifischer. Kritische Infrastrukturen (KRITIS) unterliegen dem BSI-Gesetz und dem KRITIS-Dachgesetz. Einzelhandel hat andere Anforderungen als ein Flughafen. Chemieunternehmen müssen Anforderungen aus dem Störfallrecht berücksichtigen. Eine Vorlage kann diese Unterschiede nicht abbilden.
Das eigentliche Problem: Wer eine Vorlage ausfüllt, hat das Gefühl, etwas getan zu haben. Dieses Gefühl ist gefährlich, wenn das ausgefüllte Dokument die spezifischen Risiken des Objekts nicht trifft. Ein Sicherheitskonzept, das nicht zu seinem Objekt passt, gibt falsche Sicherheit — die schlechteste Form von Sicherheit.
CESAR Security entwickelt Sicherheitskonzepte als Teil einer integrierten Sicherheitsberatung — auf Basis einer standortspezifischen Analyse, nicht auf Basis von Musterformulierungen.
Wann externe Sicherheitsberatung sinnvoll ist
Interne Sicherheitsverantwortliche kennen ihr Objekt gut. Manchmal zu gut: Der blinde Fleck entsteht oft dort, wo Abläufe seit Jahren so laufen wie sie laufen — weil sie immer so liefen. Ein externer Berater bringt Distanz und Vergleichswerte aus anderen Objekten und Branchen.
Regulatorische Anforderungen verlangen in bestimmten Bereichen eine unabhängige Bewertung. Wer KRITIS-Betreiber ist oder sensible personenbezogene Daten verarbeitet, kommt an einer externen Überprüfung des Sicherheitskonzepts nicht vorbei — und sollte diese nicht als bürokratische Pflicht, sondern als Korrektiv verstehen.
Konkrete Anlässe für eine externe Sicherheitsberatung:
- Neubau oder Umzug in neue Räumlichkeiten
- Wesentliche Erweiterung des Betriebs oder des Geländes
- Sicherheitsrelevanter Vorfall ohne klare Ursachenanalyse
- Anstehende Zertifizierung oder behördliche Prüfung
- Fusion, Übernahme oder Änderung der Unternehmensstruktur
- Erstmalige Einführung eines Sicherheitskonzepts
Die Kostenfrage stellt sich anders, wenn man sie richtig formuliert: nicht „Was kostet eine externe Beratung?" sondern „Was kostet ein Einbruch, ein Datenverlust durch physischen Zugriff, oder ein Vorfall, der hätte verhindert werden können?" Eine externe Sicherheitsberatung rechnet sich fast immer — der erste relevante Vorfall kostet mehr.
Wenn Sie wissen möchten, ob Ihr aktuelles Sicherheitskonzept den Anforderungen Ihres Objekts entspricht, sprechen Sie mit uns. CESAR Security führt vertrauliche Erstgespräche durch, ohne Verpflichtung. Kontakt aufnehmen.
Häufige Fragen zum Sicherheitskonzept
Was kostet ein professionelles Sicherheitskonzept?
Die Spanne ist breit und hängt von Objektgröße, Komplexität und Beratungsumfang ab. Für ein mittelgroßes Gewerbeobjekt ohne besondere Risikoprofile sind Beratungsprojekte im vier- bis niedrigen fünfstelligen Bereich üblich. Kritische Infrastrukturen oder Objekte mit erhöhter Gefährdungslage liegen deutlich darüber. Ein seriöser Anbieter erstellt vor Beauftragung ein transparentes Angebot auf Basis einer Erstanalyse.
Wie oft sollte ein Sicherheitskonzept aktualisiert werden?
Als Faustregel gilt: mindestens alle zwei Jahre und nach jedem sicherheitsrelevanten Vorfall, strukturellen Veränderungen am Objekt oder wesentlichen Änderungen der Gefährdungslage. Wer sein Sicherheitskonzept zuletzt vor einem Umbau oder vor einer wesentlichen Personalveränderung erstellt hat, sollte es als veraltet betrachten — unabhängig vom Datum.
Ist ein Sicherheitskonzept gesetzlich vorgeschrieben?
Für bestimmte Branchen und Objekttypen: ja. KRITIS-Betreiber sind nach dem BSI-Gesetz zur Umsetzung von Sicherheitsmaßnahmen verpflichtet, die ein dokumentiertes Konzept erfordern. Veranstaltungsstätten, Krankenhäuser und Bildungseinrichtungen unterliegen landesrechtlichen Anforderungen, die ein Sicherheitskonzept faktisch voraussetzen. Für die meisten Unternehmen gibt es keine allgemeine Pflicht — aber eine erhebliche Haftungsrelevanz, wenn im Schadensfall kein dokumentiertes Konzept vorliegt.
Wer erstellt ein Sicherheitskonzept?
Intern kann ein qualifizierter Sicherheitsbeauftragter ein Konzept entwickeln, wenn er über die notwendige Fachkenntnis und den nötigen Abstand zum eigenen Objekt verfügt. In der Praxis beauftragen viele Unternehmen externe Sicherheitsberater — entweder weil das interne Know-how fehlt oder weil eine unabhängige Perspektive rechtlich oder versicherungstechnisch gefordert ist. Dienstleister mit nachgewiesener Erfahrung im Objektschutz bringen dabei den entscheidenden Vorteil: Sie kennen die Lücken, die interne Betriebsblindheit verdeckt.
Ein Sicherheitskonzept ist kein Dokument, das man einmal erstellt und dann ablegt. Es ist ein Arbeitsinstrument — und sein Wert bemisst sich daran, ob es die realen Risiken eines konkreten Objekts trifft. Wer das ernstnimmt, kommt an einer fundierten Analyse nicht vorbei.
Sie möchten wissen, wo Ihr Objekt steht? Sprechen Sie mit CESAR Security — vertraulich, ohne Verpflichtung.