In einer Welt, in der ein einziger Angriff kritische Geschäftsprozesse lahmlegen kann, ist bloße Reaktion keine Option mehr. Wer seine kritischen Prozesse und die Handlungsfähigkeit seiner Organisation langfristig schützen will, kommt an einer vorausschauenden, systematischen Sicherheitsvorsorge auf höchstem Niveau nicht mehr vorbei.
Genau dafür wurde dieser Leitfaden entwickelt: Er liefert Unternehmen und Behörden ein praxistaugliches, strategisches wie operatives Werkzeug, um eine methodische Risikoanalyse als stabiles Fundament eines ganzheitlichen Sicherheitskonzepts zu etablieren.
Die neuen Gesetze, NIS-2 seit Dezember 2025 und KRITIS-Dachgesetz seit März 2026, machen die Verschmelzung von physischem und digitalem Schutz zur Pflicht.
Eines ist klar: Ein wirklich wirksames Sicherheitskonzept entsteht nicht aus dem Bauch heraus, sondern nur auf Basis einer fundierten Risikoanalyse, die Schwachstellen und reale Bedrohungsszenarien schonungslos sichtbar macht.
INHALTSVERZEICHNIS

Phase 1 – Vorplanung in der Einrichtung
Eine gründliche Vorplanung schafft die Voraussetzungen für eine erfolgreiche Umsetzung des Leitfadens. Im Vorfeld der Implementierung müssen grundlegende organisatorische, rechtliche und strategische Parameter geklärt und verankert werden, da ein Sicherheitskonzept ohne ein stabiles Fundament in den betrieblichen Strukturen an Wirksamkeit verliert.
Verankerung und Zuständigkeiten
Die Etablierung eines integrierten Risiko- und Krisenmanagements darf kein isoliertes Projekt einzelner Fachabteilungen sein. Sie muss direkt durch die Leitung der Einrichtung initiiert und als zentrales Führungsinstrument verankert werden. Die Qualität der Risikoanalyse steht und fällt mit der Akzeptanz und Motivation der Mitarbeiter. Daher ist die frühzeitige Schaffung eines umfassenden Risikobewusstseins in der gesamten Belegschaft unerlässlich.
Für die operative Steuerung der Risikoanalyse ist ein fachlicher Leiter aus der Einrichtung zu benennen, der die inhaltliche Federführung übernimmt. Unterstützt wird dieser durch eine interdisziplinäre Arbeitsgruppe, die sich aus Spezialisten der verschiedenen Linienhierarchien zusammensetzt. Die Zuständigkeiten, Kompetenzen und Berichtserstattungswege müssen im Vorfeld unmissverständlich dokumentiert werden.
Bereitstellung von Ressourcen
Die erfolgreiche Umsetzung des Leitfadens erfordert die Zuweisung adäquater personeller und finanzieller Ressourcen. Die Mitglieder der Projektgruppe müssen für die Dauer der Ausarbeitung in ausreichendem Maße von ihren regulären Aufgaben freigestellt werden. Sollte die interne Expertise für hochkomplexere methodische Schritte der Risikoanalyse oder für spezifische Facetten der Krisenbewältigung nicht ausreichen, ist das eigene Personal gezielt zu schulen oder externe Fachexpertise hinzuzuziehen.
Klärung rechtlicher Verpflichtungen
Eine fundierte Risikoanalyse bildet den Ausgangspunkt der Vorplanung. Hierzu gehört die umfassende Prüfung aller für die Einrichtung relevanten rechtlichen und regulatorischen Anforderungen. Die Notwendigkeit zur Einführung eines Risiko- und Krisenmanagements ergibt sich aus einer Vielzahl gesetzlicher Vorgaben, deren Umfang und Ausgestaltung von der jeweiligen Rechtsform sowie der Zugehörigkeit zu einem bestimmten Sektor abhängen.
| Rechtsbereich / Standard | Gesetzliche Grundlage | Kernanforderung für die Risikoanalyse und das Sicherheitskonzept |
| Aktiengesetz (AktG) | § 91 Abs. 2 AktG | Einrichtung eines Überwachungssystems zur frühzeitigen Erkennung bestandsgefährdender Entwicklungen, Haftungsrisiko für den Vorstand nach § 93 Abs. 2 AktG. |
| Handelsgesetzbuch (HGB) | § 317 Abs. 4 HGB | Prüfungspflicht durch den Abschlussprüfer bezüglich des Vorhandenseins eines angemessenen Risikomanagementsystems. |
| Finanz- & Versicherungswesen | MaRisk, Basel II, Solvency II | Berücksichtigung operationeller Risiken bei der Kreditvergabe und Koppelung des Versicherungsschutzes an dokumentierte Schadensvorsorgemaßnahmen. |
| IT-Sicherheitsrecht (NIS-2) | § 30 BSIG (NIS2UmsuCG) | Verpflichtende Umsetzung technischer und organisatorischer Maßnahmen zur Risikominimierung für „besonders wichtige“ und „wichtige“ Einrichtungen. |
| Physische Resilienz (KRITIS) | KRITIS-Dachgesetz | Durchführung physischer Risikoanalysen und Erstellung von Resilienzplänen nach dem „All-Gefahren-Ansatz“. |
Festlegung strategischer Schutzziele
Die Risikoanalyse bildet die Grundlage für die Festlegung strategischer Schutzziele, indem sie die wesentlichen Gefährdungen, Schwachstellen und potenziellen Auswirkungen auf die Einrichtung systematisch identifiziert und bewertet. Auf dieser Basis definieren strategische Schutzziele prozessübergreifend den langfristig anzustrebenden Sicherheits- und Resilienzzustand und schaffen den verbindlichen Orientierungsrahmen für die Entwicklung eines ganzheitlichen Sicherheitskonzepts. Sie berücksichtigen ethische, rechtliche, wirtschaftliche und ökologische Anforderungen sowie die spezifischen Rahmenbedingungen der Einrichtung. Zu den zentralen strategischen Schutzzielen zählen der Schutz von Leben und Gesundheit von Mitarbeitenden, Kunden und weiteren Anspruchsgruppen, die Sicherstellung der Betriebs- und Funktionsfähigkeit auch unter außergewöhnlichen Ereignissen sowie die Vermeidung erheblicher Reputations-, Vermögens- und Folgeschäden.
Phase 2 – Risikoanalyse
Die Risikoanalyse verschafft der Einrichtung einen strukturierten Überblick über ihre einzelnen Prozesse, über die Gefahren, denen diese Prozesse ausgesetzt sein können, und über die Verwundbarkeit, die den Prozessen innewohnt. Erst die systematische Verknüpfung dieser Parameter ermöglicht die Erstellung eines realistischen Bedrohungsbildes, das als logische Grundlage für ein wirksames Sicherheitskonzept fungiert.

Prozess- und Kritikalitätsanalyse
Ausgangspunkt jeder Risikoanalyse ist die Identifikation und Strukturierung der betrieblichen Abläufe in Kernprozesse und unterstützende Teilprozesse. Da die Ressourcen zum Schutz von Systemen begrenzt sind, filtert die Kritikalitätsanalyse diejenigen Prozesse heraus, deren Beeinträchtigung zu weitreichenden Ausfällen führt. Diese Prozesse werden anhand klar definierter Kriterien bewertet und klassifiziert. Jedem kritischen Prozess werden im Anschluss seine physischen und virtuellen Risikoelemente zugeordnet, die Schaden erleiden können.
| Kriterium der Kritikalitätsanalyse | Beschreibung und Schwellenwert | Zugeordnete Risikoelemente der Prozesse |
| Leben und Gesundheit | unmittelbare Gefährdung von Menschen im Ereignisfall | Menschen: Personal, Fachkräfte, Kunden, sonstige Anwesende |
| Volumen | Ausfall von ≥ 30% der gesamten Produktion oder Dienstleistung | Gebäude & Gelände: Produktionshallen, Verwaltungsgebäude, Freiflächen |
| Auswirkungszeitpunkt | Spürbare Auswirkungen der Beeinträchtigung innerhalb von 24 Stunden | Anlagen & Geräte: IT/KT-Infrastruktur, Strom-, Gas- und Wasserversorgung |
| Rechtliche Relevanz | Verletzung vertraglicher, gesetzlicher oder ordnungspolitischer Pflichten | Sonderanlagen: Spezialgeräte, Prozessleittechnik, Sicherheitssysteme |
| Wirtschaftlicher Schaden | Monetärer Verlust von ≥ 5% des jährlichen Umsatzes oder Budgets | Daten & Unterlagen: Elektronische Informationen, Prozessdaten, Verträge |
| Umwelt | Negative, nachhaltig wirkende Konsequenzen für die Ökologie | Betriebsmittel & Umwelt: Rohstoffe, Hilfsstoffe, Kühlwasser, Luftqualität |
Gefahrenanalyse und Szenarioentwicklung
Die Gefahrenanalyse umfasst die Erstellung einer standortspezifischen Gefahrenliste, mit der alle potenziellen Bedrohungen systematisch erfasst werden. Darauf aufbauend werden realistische Szenarien entwickelt, die die Exposition der betroffenen Risikoelemente, die Intensität des Ereignisses sowie dessen zeitliche und räumliche Ausdehnung beschreiben. Ergänzend werden die Vorwarnzeit und mögliche Sekundäreffekte berücksichtigt, um die Gefährdungslage umfassend abzubilden.
| Gefahrenkategorie | Typische Gefahrenarten | Mögliche Auswirkungen auf die Risikoelemente |
| Naturgefahren | Hochwasser, Starkregen, Stürme, Erdbeben, Hitzewellen, Kältewellen | Physische Zerstörung von Gebäuden, Ausspülungen, Eisbildung an Leitungen, Kühlwassermangel |
| Technisches & menschliches Versagen | Stromausfall, Ausfall der Wasserversorgung, IT-Systemabsturz, Bedienungsfehler | Unterbrechung von Dienstleistungen, Datenverlust, Ausfall von Lüftungs- und Kühlsystemen |
| Vorsätzliche Handlungen | Cyberangriffe (Trojaner, Sabotage), Terroranschläge, Diebstahl, Erpressung | Kompromittierung der Prozesssteuerung (OT), unbefugter Zutritt, gezielte Zerstörung |
| Gesundheitsgefahren & Krieg | Influenzapandemie, Epidemien, kriegerische Konflikte | Massiver Personalausfall (hohe Abwesenheitsquote), großflächige Zerstörung von Infrastrukturen |
Verwundbarkeitsanalyse
Die Verwundbarkeit der Prozesse und Risikoelemente bestimmt maßgeblich die Höhe des potenziellen Schadens. Sie wird im Rahmen des Leitfadens durch zwei wesentliche Dimensionen ermittelt:
- Funktionsanfälligkeit: Die Funktionsanfälligkeit beschreibt, wie stark die Funktion eines Risikoelements durch ein Ereignis beeinträchtigt wird. Sie hängt unter anderem davon ab, wie abhängig das Risikoelement von internen und externen Infrastrukturen (z. B. der Stromversorgung) ist, wie widerstandsfähig das verwendete Material ist und welches Schutzniveau bereits umgesetzt wurde. Weitere Einflussfaktoren sind die Fähigkeit, sich an veränderte Rahmenbedingungen anzupassen, vorhandene Pufferkapazitäten zur Überbrückung von Ausfällen sowie die Abhängigkeit von bestimmten Umweltbedingungen.
- Ersetzbarkeit: Die Ersetzbarkeit beschreibt, wie gut eine Einrichtung den Ausfall eines Risikoelements kurzfristig ausgleichen kann. Dabei wird bewertet, ob technische oder organisatorische Redundanzen beziehungsweise Ersatzstrukturen vorhanden sind. Darüber hinaus spielen der zeitliche, finanzielle und personelle Aufwand für die Wiederherstellung sowie eine vollständige und nachvollziehbare Dokumentation der Systemkomponenten eine wichtige Rolle.
Risikoermittlung und Risikobewertung
Durch die Verknüpfung der erhobenen Informationen wird für alle betrachteten Prozesse und Szenarien eine Risikoanalyse erstellt. Die ermittelten Risiken werden systematisch miteinander verglichen und bewertet. Daraus entsteht ein übersichtliches Risikobild, das die wesentlichen Risikoschwerpunkte aufzeigt und eine Priorisierung des Handlungsbedarfs ermöglicht. Die Risikoermittlung kann auf unterschiedliche Weise erfolgen. Qualitativ durch eine beschreibende Bewertung, semiquantitativ anhand vordefinierter Risikoklassen oder quantitativ mithilfe mathematisch-statistischer Verfahren.
Die Ergebnisse der Risikoanalyse werden mit den zuvor aufgestellten strategischen Schutzzielen abgeglichen und hierdurch bewertet. Können die strategischen Schutzziele in weiten Teilen nicht erreicht werden, sind konkrete Maßnahmen umzusetzen, die bestehende Risiken mindern und den Umgang mit Krisenereignissen erleichtern. Diese Maßnahmen bilden den operativen Kern für das zu erstellende Sicherheitskonzept.
Phase 3 – Vorbeugende Maßnahmen und Strategien
Vorbeugende Maßnahmen tragen zur Minderung von Risiken von Prozessen und damit zur Sicherung einer Dienstleistung beziehungsweise einer Produktion bei. Sie heben die Krisenschwelle in der Einrichtung an und können hierdurch sowohl die Anzahl als auch die Intensität krisenhafter Ereignisse reduzieren. Vorbeugende Maßnahmen haben das Ziel, Komponenten in der Einrichtung aktiv zu schützen oder Redundanzen zu schaffen.

Im Rahmen des Sicherheitskonzepts stehen der Einrichtung vier fundamentale strategische Optionen zur Verfügung, um den identifizierten Bedrohungen methodisch zu begegnen:
| Strategische Option | Wirkungsmechanismus im Sicherheitskonzept | Konsequenzen und Limitationen |
| Risikominderung (Mitigation) | Technische oder organisatorische Reduzierung der Funktionsanfälligkeit. | Erfordert gezielte Investitionen in baulichen Schutz, IT-Sicherheit oder die Schaffung von Redundanzen. |
| Risikovermeidung (Avoidance) | Strategische Entscheidungen, die dazu führen, dass Gefährdungslagen gar nicht erst entstehen. | Kann spürbare Einschränkungen der Flexibilität und der betrieblichen Handlungsfreiheit nach sich ziehen (z. B. Standortverzicht). |
| Risikoüberwälzung (Transfer) | Verlagerung des finanziellen Schadensrisikos auf Versicherungen, Lieferanten oder Vertragspartner. | Mindert physische Risiken für Personen oder Sachgüter nicht, der finanzielle Ausgleich kann im Einzelfall deutlich unterhalb des realen Schadens liegen. |
| Risikoakzeptanz (Acceptance) | Bewusste, dokumentierte Inkaufnahme des verbleibenden Restrisikos. | Bildet die Schnittstelle zum Krisenmanagement, da dieses das akzeptierte Restrisiko im Ernstfall bewältigen muss. |
Die Auswahl der vorbeugenden Maßnahmen sollte durch eine detaillierte Kosten-Nutzen-Analyse gestützt werden. Hierbei werden die notwendigen Schutzinvestitionen den potenziellen direkten und indirekten Kosten eines tatsächlichen Prozessausfalls gegenübergestellt. Ergänzend sind stets soziale, ethische und ökologische Aspekte in die Bewertung und Auswahl vorbeugender Maßnahmen einzubeziehen.

Phase 4 – Krisenmanagement
Kommt es trotz vorbeugender Maßnahmen zu schwerwiegenden Schäden jeglicher Art in einer Einrichtung, sollte ein Krisenmanagement als Sonderorganisation zur Bewältigung dieser Situation bereitstehen. Das Krisenmanagement beinhaltet eine besondere Aufbau- und Ablauforganisation, die sich von der Organisation im Normalbetrieb unterscheidet. Die Entscheidungskompetenz wird in der Krise gebündelt, um möglichst ohne Zeitverzögerung adäquat auf eine Situation reagieren zu können. Hierdurch können die Auswirkungen einer Krise reduziert und die Zeitspanne zur Wiederherstellung des Normalzustandes verkürzt werden.
Die besondere Aufbauorganisation: Der Krisenstab
Im Krisenfall wird die reguläre Linienorganisation durchbrochen, um ein schnelles und abteilungsübergreifendes Handeln zu ermöglichen. Zentrales Steuerungsorgan ist der Krisenstab:
- Krisenstabsleiter: Er führt die gesamte operative Krisenbewältigung und trifft alle grundlegenden Entscheidungen. Diese Funktion erfordert eine hohe Belastbarkeit, schnelle Analysefähigkeit und ausgeprägte Entscheidungsfreudigkeit unter extremem Zeitdruck. Dem Leiter muss im Vorfeld ein klar definierter rechtlicher und finanzieller Kompetenzrahmen zugewiesen werden.
- Kernteam: Dieses besteht aus dem Leiter und wenigen festen Funktionsträgern wie z. B. Vertretern für Personal, Technik und IT, die kontinuierlich im Stab mitwirken.
- Erweiterter Stab & Fachberater: Je nach Krisenart wird das Kernteam um ereignisspezifische Spezialisten, z. B. Juristen, Werkfeuerwehr, IT-Sicherheitsbeauftragte oder externe Fachexperten der öffentlichen Gefahrenabwehr ergänzt.
Die Ablauforganisation und der Führungskreislauf
Die Bewältigung extremer Ereignisse vollzieht sich in einem kontinuierlichen, systematischen Führungskreislauf, der bei jeder signifikanten Veränderung der Lage erneut durchlaufen wird:
- Lagefeststellung: Kontinuierliche Sammlung von Informationen, um ein präzises, komprimiertes Lagebild (Situationsdarstellung) zu generieren.
- Lagebeurteilung: Systematische Bewertung des Lagebildes im Hinblick auf die eigenen strategischen Ziele und die Abwägung verschiedener Handlungsoptionen.
- Entscheidung und Maßnahmenumsetzung: Schnelle und klare Formulierung operativer Aufträge an die Einsatzkräfte oder Fachabteilungen.
- Kontrolle: Überprüfung der tatsächlichen Auswirkungen der umgesetzten Maßnahmen und Abgleich mit dem neuen Lagebild.
Der Krisenplan als Handlungsgrundlage
Sämtliche organisatorischen Strukturen, Alarmierungsketten und planbaren Notfallmaßnahmen müssen in einem präzisen und leicht verständlichen Krisenplan schriftlich fixiert sein.
| Bestandteil des Krisenplans | Inhaltliche Anforderungen und Instrumente |
| Zweck und Geltungsbereich | Definition der Aktivierungsschwellen und rechtlichen Grundlagen des Plans. |
| Aufbauorganisation | Festlegung der personellen Besetzung des Krisenstabes und Zuweisung von Kompetenzen. |
| Ablauforganisation | Standardisierte Meldewege, Alarmierungskonzepte (Schwellen- oder Eskalationsmodelle) und Erreichbarkeitslisten. |
| Krisenkommunikation | Richtlinien für die Presse- und Medienarbeit (One-Voice-Policy) sowie Musterpressemitteilungen. |
| Szenariobezogene Teilpläne | Konkrete Checklisten für spezifische Lagen: Evakuierung, großflächiger Stromausfall, Personalausfall (Pandemie). |
| Wiederanlaufpläne | Technische und organisatorische Konzepte zur zügigen Rückkehr in den Normalbetrieb. |
Ein wesentliches Element des Krisenraums (Lagezentrum) ist die Absicherung gegen physische und virtuelle Bedrohungen. Neben einer unterbrechungsfreien Stromversorgung (USV) und Notstromaggregaten müssen redundante Kommunikationskanäle wie beispielsweise Satellitenverbindungen, Betriebsfunk und wirksame Schutzmaßnahmen gegen unbefugten Zutritt und Abhören vorhanden sein.

Phase 5 – Evaluierung des Risiko- und Krisenmanagements
Die Evaluierung überprüft alle Bereiche des Risiko- und Krisenmanagements und stellt sicher, dass die getroffenen Maßnahmen weiterhin wirksam und aktuell sind. Dabei werden insbesondere folgende Punkte betrachtet:
- Die in der Vorplanung festgelegten Regelungen, wie Zuständigkeiten und strategische Schutzziele, werden auf ihre Aktualität und Eignung überprüft.
- Das bestehende Risikobild wird bewertet und bei Bedarf an neue Erkenntnisse oder veränderte Gefährdungslagen angepasst.
- Die umgesetzten vorbeugenden Maßnahmen werden hinsichtlich ihrer Wirksamkeit überprüft.
- Die Abläufe und Strukturen des Krisenmanagements werden auf ihre Funktionsfähigkeit und Effektivität bewertet.
Eine regelmäßige Evaluierung ist entscheidend, um das Sicherheitskonzept kontinuierlich weiterzuentwickeln und an neue Anforderungen anzupassen. Eine jährliche Überprüfung hat sich hierfür als sinnvoll erwiesen. Darüber hinaus können zusätzliche Evaluierungen erforderlich sein, wenn:
- neue vorbeugende oder risikomindernde Maßnahmen umgesetzt wurden,
- sich die Einrichtung durch Erweiterungen, organisatorische Veränderungen oder technische Anpassungen verändert hat,
- sich die externe Gefährdungslage wesentlich verändert, beispielsweise durch neue Cyberbedrohungen oder zunehmende Klimarisiken,
- ein reales Krisenereignis bewältigt wurde und daraus Erkenntnisse zur Verbesserung der bestehenden Strukturen gewonnen wurden.
Zur Unterstützung der Überprüfung können standardisierte Checklisten im Sicherheitskonzept verwendet werden. Diese ermöglichen eine strukturierte Kontrolle wichtiger Elemente wie Alarmierungswege, Personalkonzepte und technische Redundanzen. Im Rahmen regelmäßiger Krisenübungen, beispielsweise durch Stabsrahmenübungen, kann damit die Funktionsfähigkeit der vorhandenen Strukturen überprüft und verbessert werden.

Duale Resilienz: Die Symbiose aus NIS-2 und dem KRITIS-Dachgesetz
Für moderne Unternehmen und Behörden, insbesondere im Bereich der Kritischen Infrastrukturen, ist die Verknüpfung digitaler und physischer Resilienz zu einer drängenden regulatorischen Pflicht geworden. Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (BSIG) im Dezember 2025 und der Verabschiedung des KRITIS-Dachgesetzes (KRITISDachG) im Frühjahr 2026 hat der Gesetzgeber verbindliche Mindeststandards etabliert, die eine methodisch saubere Risikoanalyse und ein lückenloses Sicherheitskonzept erzwingen.
| Regulatives Kriterium | NIS-2-Umsetzungsgesetz (BSIG) | KRITIS-Dachgesetz (KRITISDachG) |
| Fokus der Regulierung | Digitale Resilienz und Cybersecurity der IT- und OT-Systeme | Physische Resilienz kritischer Anlagen („All-Gefahren-Ansatz“) |
| Zuständige Aufsichtsbehörde | Bundesamt für Sicherheit in der Informationstechnik (BSI) | Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) |
| Registrierungsfristen | Spätestens drei Monate nach Betroffenheit, für bestehende Betriebe bis zum 6. März 2026 | Duale Registrierungspflicht: Zusätzliche Anmeldung beim BBK bis spätestens 17. Juli 2026 |
| Sanktionsrahmen | Bußgelder bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes | Direkte Sanktionierung bei Verstößen gegen Resilienzpläne und Risikoanalysen |
| Haftung der Geschäftsführung | Persönliche, unbegrenzte Haftung bei Pflichtverletzungen, Schulungspflicht | Verantwortung für physische Schutzvorkehrungen und Resilienzkonzepte |
Besonders zu beachten ist, dass auch mittelständische Unternehmen, die selbst nicht direkt unter die gesetzlichen Vorgaben fallen, zunehmend von diesen Anforderungen betroffen sind. Regulierte Kunden, insbesondere Betreiber besonders wichtiger Einrichtungen, sind verpflichtet, die Sicherheit ihrer Lieferketten zu überprüfen und entsprechende Anforderungen vertraglich abzusichern. Unternehmen, die keine nachvollziehbare Risikoanalyse und kein geprüftes Sicherheitskonzept vorweisen können, beispielsweise nach ISO 27001, können dadurch Nachteile in Geschäftsbeziehungen erfahren oder wichtige Kundenbeziehungen verlieren.
Fazit: Die Risikoanalyse als Fundament zukunftsfähiger Sicherheitskonzepte
Zusammenfassend zeigt sich, dass eine systematische Risikoanalyse kein statisches Dokument ist, sondern die zentrale Grundlage eines wirksamen und kontinuierlich weiterentwickelten Sicherheitskonzepts bildet. Eine nachhaltige Widerstandsfähigkeit gegenüber physischen und digitalen Bedrohungen kann nur erreicht werden, wenn Vorplanung, vorbeugende Schutzmaßnahmen und ein leistungsfähiges Krisenmanagement gezielt miteinander verknüpft werden.
Die aktuellen regulatorischen Entwicklungen, insbesondere im Zusammenhang mit dem NIS-2-Umsetzungsgesetz und dem KRITIS-Dachgesetz, verdeutlichen, dass eine strukturierte Risikoanalyse und ein darauf aufbauendes Sicherheitskonzept zunehmend zu den grundlegenden Anforderungen moderner Einrichtungen gehören.
Durch die regelmäßige Durchführung einer fundierten Risikoanalyse können Risiken frühzeitig erkannt, Maßnahmen gezielt verbessert und die Betriebsfähigkeit langfristig gesichert werden. Damit trägt sie nicht nur zum Schutz der eigenen Organisation und ihrer Wertschöpfung bei, sondern unterstützt auch die Stabilität und Sicherheit der Gesellschaft insgesamt.
Strukturierte Checkliste
Als praxisorientierte Ergänzung zu diesem Leitfaden steht im Anschluss eine übersichtliche, stichpunktartig strukturierte Übersicht bereit.

Checkliste: In 5 Phasen zum resilienten Sicherheitskonzept
Phase 1: Vorplanung & Fundament
- Leitungsmandat sichern: Ist das Risiko- und Krisenmanagement offiziell durch die Geschäftsführung initiiert und im Betrieb verankert?
- Ressourcen & Rollen definieren: Wurde ein fachlicher Leiter für die Risikoanalyse benannt und eine interdisziplinäre Arbeitsgruppe etabliert?
- Rechtsrahmen prüfen: Sind alle gesetzlichen Vorgaben (wie das NIS-2-Umsetzungsgesetz und das KRITIS-Dachgesetz) für Ihre Einrichtung eindeutig geklärt?
- Schutzziele festlegen: Wurden strategische Schutzziele (z. B. Schutz von Leib und Leben, Erhalt der Betriebsfähigkeit) schriftlich definiert?
Phase 2: Risikoanalyse & Bedarfsermittlung
- Prozess- & Kritikalitätsanalyse: Sind alle lebenswichtigen Geschäftsprozesse identifiziert und nach Auswirkungszeitpunkt sowie Schadensausmaß priorisiert?
- Gefahren- & Szenarioentwicklung: Liegt eine standortspezifische Gefahrenliste (Naturgefahren, technisches Versagen, Cyberbedrohungen) vor?
- Verwundbarkeitsanalyse: Wurden die Funktionsanfälligkeit und die Ersetzbarkeit (Redundanzen) für jedes kritische Risikoelement bewertet?
- Risikobild erstellen: Sind die Teilrisiken zu einem Gesamtrisikobild konsolidiert, um Risikoschwerpunkte objektiv zu identifizieren?
Phase 3: Vorbeugende Maßnahmen & Strategien
- Maßnahmen zur Risikominderung: Wurden bauliche Schutzmaßnahmen, physische Zutrittskontrollen und IT-Sicherheitsmechanismen (z. B. MFA, Verschlüsselung) für kritische Assets geplant?
- Redundanzen aufbauen: Sind technische und organisatorische Backup-Systeme (z. B. Notstrom, redundante Datenhaltung) implementiert?
- Risikostrategie wählen: Wurde für jedes verbleibende Risiko entschieden, ob es vermieden, übertragen (z. B. durch eine Sach- oder Cyberversicherung) oder bewusst als Restrisiko akzeptiert wird?
- Kosten-Nutzen-Analyse: Sind die geplanten Schutzinvestitionen im Hinblick auf den potenziellen Schadenswert ökonomisch, rechtlich und ethisch validiert?
Phase 4: Krisenmanagement als Sonderorganisation
- Krisenstab einrichten: Ist die personelle Besetzung des Krisenstabs (Leitung, Kernteam, Fachberater) und deren Vertretungsregelung verbindlich dokumentiert?
- Krisenplan finalisieren: Liegt ein kompakter, handlungsfähiger Krisenplan inklusive klarer Alarmierungsketten (Schwellen- oder Eskalationsmodell) vor?
- Krisenkommunikation vorbereiten: Sind Richtlinien für die interne und externe Kommunikation (One-Voice-Policy, Muster-Pressemitteilungen, Dark-Sites) etabliert?
- Krisenstabsraum absichern: Ist ein physischer oder virtueller Lagebesprechungsbereich mit redundanter, notstromgesicherter Kommunikationsinfrastruktur einsatzbereit?
Phase 5: Evaluierung & Kontinuierliche Verbesserung
- Regelmäßige Audits: Wird das gesamte Sicherheitskonzept sowie die zugrundeliegende Risikoanalyse mindestens einmal jährlich auf Aktualität geprüft?
- Krisenübungen durchführen: Werden Alarmierungs-, Stabsrahmen- oder Vollübungen regelmäßig durchgeführt und dokumentiert?
- Anlassbezogene Updates: Erfolgt eine sofortige Re-Evaluierung bei baulichen/technischen Veränderungen, nach realen Krisenfällen oder bei einer veränderten Gefahrenlage?

FAQs Risikoanalyse
1. Wie hängen Risikoanalyse, Sicherheitskonzept und der vorliegende Leitfaden zusammen?
Der Leitfaden beschreibt das systematische, phasenbasierte Vorgehen, um ein strukturiertes Sicherheitskonzept in einer Einrichtung aufzubauen. Die Risikoanalyse ist dabei der unverzichtbare erste Schritt innerhalb dieses Prozesses. Ohne eine detaillierte Risikoanalyse, welche die kritischen Prozesse und die tatsächlichen Gefahren analysiert, bleibt jedes Sicherheitskonzept unpräzise und verfehlt in der Praxis seine Schutzwirkung.
2. Welche gesetzlichen Verpflichtungen fordern zwingend eine Risikoanalyse und ein Sicherheitskonzept?
Neben den klassischen aktienrechtlichen Sorgfaltspflichten (§ 91 Abs. 2 AktG) und handelsrechtlichen Prüfungsvorschriften (§ 317 HGB) verpflichten das NIS-2-Umsetzungsgesetz (§ 30 BSIG) sowie das KRITIS-Dachgesetz betroffene Einrichtungen explizit dazu, regelmäßige, dokumentierte Risikoanalysen durchzuführen und darauf basierende Sicherheitsvorkehrungen zu implementieren. Ein Verstoß gegen diese Pflichten kann zu empfindlichen Bußgeldern und zur persönlichen Haftung der Geschäftsleitung führen.
3. Warum ist die Kritikalitätsanalyse im Rahmen des Leitfadens so wichtig?
In jeder Einrichtung sind die finanziellen und personellen Ressourcen zum Schutz von Systemen begrenzt. Die Kritikalitätsanalyse fungiert als Filter, um aus der Gesamtheit aller Geschäftsprozesse diejenigen herauszufiltern, die für das Überleben der Einrichtung und die Aufrechterhaltung der Dienstleistungen oder der Produktion absolut überlebenswichtig sind. Das Sicherheitskonzept konzentriert seine vorbeugenden Maßnahmen vorrangig auf diese kritischen Prozesse und deren Risikoelemente.
4. Warum mindert eine Risikoüberwälzung physische Risiken nicht?
Die Risikoübertragung, beispielsweise durch Sach- oder Cyberversicherungen, reduziert lediglich die finanziellen Folgen eines Schadens. Sie verhindert jedoch weder Schäden an Anlagen noch schützt sie Mitarbeitende. Zudem deckt eine finanzielle Entschädigung häufig nicht den tatsächlichen Gesamtschaden ab, insbesondere bei Reputationsverlusten oder längeren Betriebsausfällen.
5. Welche Aufgaben übernimmt das Krisenmanagement als Sonderorganisation?
Das Krisenmanagement tritt in Kraft, wenn ein Ereignis die normale Aufbau- und Ablauforganisation überfordert. Als Sonderorganisation bündelt es die gesamte Entscheidungskompetenz im Krisenstab unter einer einheitlichen Leitung. Dadurch werden langwierige Abstimmungsprozesse vermieden, schnelle Reaktionszeiten garantiert, die negativen Auswirkungen des Ereignisses minimiert und die Zeitspanne zur Wiederherstellung des Normalzustandes drastisch verkürzt.
6. Wann und wie oft müssen das Risikobild und die Maßnahmen evaluiert werden?
Der Leitfaden empfiehlt eine regelmäßige, mindestens jährliche Überprüfung des gesamten Risiko- und Krisenmanagements. Zusätzlich sind anlassbezogene Evaluierungen erforderlich, beispielsweise nach der Umsetzung neuer Sicherheitsmaßnahmen, bei wesentlichen Änderungen der Infrastruktur oder bei einer veränderten Gefahrenlage, etwa durch neue Schadsoftware oder veränderte Umweltbedingungen.
Disclaimer
Die in diesem Artikel bereitgestellten Informationen dienen ausschließlich der allgemeinen Information und Orientierung über die Phasen des Risiko- und Krisenmanagements. Sie stellen keine Rechts-, Sicherheits- oder Compliance-Beratung dar. Die konkreten gesetzlichen Anforderungen hängen maßgeblich von der individuellen Einordnung der jeweiligen Einrichtung (Sektorzugehörigkeit, Schwellenwerte, Rechtsform) ab. Für die rechtskonforme Ausgestaltung eines Sicherheitskonzepts und die Durchführung einer Risikoanalyse ist eine einzelfallbezogene Fachberatung zwingend erforderlich.
Kontakt
Sollten Einrichtungen konkrete Sicherheitsanforderungen haben oder Unterstützung bei der Umsetzung der gesetzlichen Vorgaben aus NIS2 und dem KRITIS-Dachgesetz benötigen, steht unser Expertenteam mit seiner tiefgreifenden Fachexpertise jederzeit zur Verfügung. Gemeinsam können passgenaue Risikoanalysen durchgeführt und wirksame Sicherheitskonzepte entwickelt werden, um die Resilienz Ihrer Prozesse langfristig zu stärken.
NUTZUNG | HAFTUNG
Trotz sorgfältiger Kontrolle übernehmen wir keine Gewähr für die Richtigkeit und Vollständigkeit der Inhalt