• 13.05.2026
  • Branchenartikel
  • KRITIS
  • Sicherheit im Alltag

Was es beim Risikomanagement zu beachten gilt

Stromausfall, Cyberangriff, Brandereignis oder Sabotage: Risiken lassen sich nicht vollständig vermeiden. Doch klar definierte Zuständigkeiten und regelmäßig geübte Abläufe schaffen die Grundlage dafür, dass ein Zwischenfall beherrschbar bleibt und nicht zur Krise eskaliert

Geschrieben von Alexander Stark

Grünes Notausgangsschild mit Schriftzug „EXIT“, Pfeil nach rechts und laufender Figur.
Wie ein Notausgang im Ernstfall Orientierung gibt, sorgen klare Zuständigkeiten und geübte Abläufe im Risikomanagement dafür, dass aus Störungen keine Krisen werden.

Ob ein Notfall weitreichende Folgen hat, entscheidet sich lange vor dem eigentlichen Ereignis – in der Risikoanalyse, in der Rollenverteilung mit klar definierten Zuständigkeiten und in der technischen Vernetzung. Gerade bei kritischen Infrastrukturen und komplexen Standorten reichen Einzelmaßnahmen nicht aus. Gefragt ist ein ganzheitlicher Ansatz, ein Krisen- und Notfallmanagement, das physische Sicherheit, IT und Organisation miteinander verbindet und auch unter Stress belastbar bleibt.

„Wichtig ist die Erfassung aller möglichen Risiken auf Basis des Allgefahrenansatzes. Diese Risiken sind dann zu gewichten und im Sicherheitskonzept durch geeignete Maßnahmen zu adressieren, um sowohl die Eintrittswahrscheinlichkeit als auch das Schadensausmaß entsprechend dem Ranking zu begrenzen,“ beschreibt Wilfried Joswig vom Verband für Sicherheitstechnik e. V. Ein Risikomanagement – also der systematische Prozess der Identifikation, Analyse, Bewertung, Bewältigung und Überwachung von Risiken, um die Existenz und den Erfolg eines Unternehmens zu sichern –übersetzt mögliche Krisenszenarien in konkrete Abläufe: Wer schnell reagieren will, muss die Risiken vorher kennen, optimal bewerten und organisatorisch beherrschbar machen.

 

Was ein belastbares Konzept ausmacht

So unterschiedlich Gebäude, Nutzungen und Betriebsabläufe sind, so individuell muss auch die Notfallplanung ausfallen. „Die Anforderungen variieren je nach Gebäudetyp deutlich – etwa bei Schulen, Bürogebäuden, Kliniken oder Industrieanlagen – und werden daher individuell und nutzungsbezogen definiert“, sagt Stefan Pusch, Strategischer Vertrieb bei Securiton Deutschland. Genau deshalb braucht es eine Notfallplanung, die passgenau auf den jeweiligen Standort zugeschnitten ist. „Es genügt also nicht, den Notfallplan eines anderen Standorts zu übernehmen“, warnt Joswig und verweist auf einschlägige Vorschriften und Richtlinien, die bei der Erstellung eine wichtige Orientierung bieten können.

Ein funktionierendes Räumungskonzept berücksichtigt beispielsweise die architektonische Struktur, die spezifische Nutzung des Gebäudes sowie besondere Gefährdungslagen. Ebenso fließen Aspekte wie unterschiedliche Personengruppen, die Wegeführung, Sammelbereiche und die passende Alarmierungsstrategie ein.

Damit aus Planung Handlungsfähigkeit wird, darf ein Notfallplan nicht auf dem Papier bleiben. Er muss regelmäßig überprüft, geübt und ausgewertet werden. „Nur wenn Abläufe sitzen, bleibt die Situation geordnet“, bringt es Pusch auf den Punkt. Tests, Audits und Übungen zeigen, wo nachgeschärft werden muss. „Besondere Beachtung erfordert dabei die Rollenverteilung und die damit verbundenen Kompetenzen der Krisenmanager“, sagt Joswig.

Für KRITIS-Standorte gelten darüber hinaus besondere Anforderungen. Betriebsausfälle können nicht nur finanzielle Konsequenzen nach sich ziehen, sondern auch unmittelbare Folgen für Versorgungssicherheit und die öffentliche Ordnung haben. „KRITIS Betreiber stehen vor hohen Anforderungen an Compliance, Dokumentation und Nachweisbarkeit. Ein strukturiertes, revisionssicheres Vorgehen ist daher unerlässlich,“ betont Benjamin Körner, Manager Strategic Accounts und A&Es DACH bei Axis Communications.

Die Risikoanalyse von KRITIS-Unternehmen ist ein zentraler Bestandteil des geplanten KRITIS-Dachgesetzes und bildet die Grundlage für alle weiteren Schutz- und Resilienzmaßnahmen. Betroffene Unternehmen sind daher gefordert, sich jetzt systematisch mit ihren Risiken auseinanderzusetzen und entsprechende Prozesse, Dokumentationen und Nachweise aufzubauen. Orientierung und praxisnahe Hilfestellung zur Risikoanalyse und Umsetzung regulatorischer Anforderungen bietet dabei beispielsweise der deutschsprachige „KRITIS-Leitfaden“ mit operativer Timeline auf der Website des Verband für Sicherheitstechnik e. V.

Lagebild in Echtzeit

Eine ganzheitliche Risiko- und Bedrohungsanalyse umfasst sowohl physische als auch digitale Szenarien – von Naturereignissen über technische Ausfälle kritischer Systeme bis hin zu Cyberangriffen oder gezielte Sabotage. Entscheidend ist dabei die Fähigkeit, Informationen schnell zu erfassen, zu verknüpfen und in ein belastbares Lagebild zu überführen. „Eine durchgängige Lageübersicht in Echtzeit ist die Grundlage für fundierte Entscheidungen – insbesondere unter Zeitdruck“, betont Körner, „nur wenn relevante Informationen zentral zusammenlaufen und kontextualisiert werden, lassen sich komplexe Situationen schnell bewerten und priorisieren – und Eskalationen letztlich verhindern.“

Hier zeigt sich die Bedeutung offener, IP-basierter Technologien: sie ermöglichen die Integration unterschiedlicher Systeme auf einer gemeinsamen Plattform. Videosicherheit, Zutrittskontrolle sowie weitere Safety- und Security-Lösungen lassen sich so vernetzen und zentral steuern. „Die Integration aller Systeme in ein übergeordnetes Sicherheitsmanagementsystem sorgt dafür, dass alle Informationen an einer Stelle zusammenlaufen, um Sicherheits- und Rettungskräfte optimal zu unterstützen“, so Pusch. Eine solche Plattform bildet das Nervenzentrum, in dem Meldungen aus Zutrittskontrolle, Videosicherheit, Brandmeldetechnik und elektroakustischen Systemen zusammenlaufen und mit den Leitstellenprozessen kombiniert werden. Das Ergebnis ist eine konsistente Informationsbasis, die Sicherheitsverantwortliche und Einsatzkräfte gleichermaßen unterstützt.

Solche Systeme müssen auch unter erschwerten Bedingungen zuverlässig funktionieren – Redundanzen, robuste Netzwerkinfrastrukturen sowie ein durchdachtes Cybersecurity-Konzept sind daher integraler Bestandteil moderner Sicherheitsarchitekturen. Bedeutet konkret: diese Prozesse müssen auch dann greifen, wenn Teile der Infrastruktur bereits beeinträchtigt sind. Evakuierungs- und Notfallprozesse sind daher so ausgelegt, dass sie selbst bei Teilausfällen – etwa der Netzwerk- oder Stromversorgung – zuverlässig arbeiten. „Die eingesetzten Systeme müssen cyberresilient und manipulationssicher ausgelegt sein, um auch in kritischen Situationen stabil zu funktionieren“, sagt Körner.

 

Klare Kommunikation

Im Ereignisfall verdichtet sich alles auf wenige Minuten: Lagebild, Kommunikation und Führung müssen dann ineinandergreifen. Häufig entscheidet die Qualität der Kommunikation darüber, ob eine Lage kontrollierbar bleibt oder eskaliert.

Stefan Pusch weist in diesem Zusammenhang auf die Bedeutung eines klar definierten Brandschutz- und Räumungskonzept hin. „Wesentliche Grundlage hierfür sind zuverlässige und hochverfügbare Brandmelde- und Sprachalarmierungsanlagen“, sagt er. Denn durch gezielte und verständliche Handlungsanweisungen können Sprachalarmierungen die Wirksamkeit einer Räumung deutlich erhöhen.


Ergänzend gewinnt die dynamische Fluchtwegsteuerung zunehmend an Bedeutung. „Wenn ein Fluchtweg aufgrund von Feuer, Rauch oder einer temporären Baustelle nicht nutzbar ist, müssen alternative Wege automatisch angezeigt und vorgegeben werden“, ergänzt der Experte von Securiton. Digitale Systeme ermöglichen es heutzutage, solche Anpassungen situationsabhängig vorzunehmen und sicher an die Betroffenen zu übermitteln.

 

Wo viele Konzepte noch Schwächen haben

In der Praxis scheitern Notfallkonzepte häufig nicht durch einzelne Schwachstellen, sondern durch fehlende Abstimmung zwischen Prozessen, Zuständigkeiten und Systemen. Wilfried Joswig hebt vor allem auf die übergreifende Zusammenarbeit hervor: „Leider gibt es diverse Vorfälle, die deutlich gezeigt haben, dass speziell die überregionale Zusammenarbeit doch stark verbesserungsfähig ist. Da wir beim Krisenmanagement vom Allgefahrenansatz ausgehen, ist es unerlässlich, auch überregionale Notfall- und Einsatzpläne zu kennen und in die eigene Planung zu integrieren. Dazu gehören zum Beispiel benachbarte Unternehmen, BOS-Organisationen, Ver- und Entsorgungsunternehmen, Wetterdienste etc.“

Auch Körner sieht in uneinheitlicher Systemlandschaften ein erhebliches Risiko: „In der Praxis zeigt sich immer noch häufig, dass Sicherheitssysteme noch zu fragmentiert und unzureichend vernetzt sind. Das verzögert die Lagebewertung und erschwert eine schnelle Reaktion. Oft fehlt eine einheitliche Sicht auf sicherheitsrelevante Ereignisse, sodass Informationen aus verschiedenen Quellen manuell zusammengeführt werden müssen.“

Hinzu kommen organisatorische Unschärfen, die im Alltag oft unbemerkt bleiben, im Ernstfall aber schwer wiegen können. Kritisch wird es laut Pusch auch dann, wenn Verantwortlichkeiten nur formal geregelt sind. Rollen mögen definiert sein – im Ernstfall müssen die Beteiligten aber auch wissen, was konkret von ihnen erwartet wird. Er weist darüber hinaus auf technische und planerische Defizite hin: „In bestehenden Notfall- und Evakuierungskonzepten sind sicherheitsrelevante Komponenten teils technisch nicht optimal ausgelegt, etwa fehlende Verfügbarkeit, mangelnde Robustheit gegenüber Cyberangriffen oder unzureichend geplante Beschallung.“

Krisenfestigkeit ist also keine Frage einzelner Technikkomponenten, sondern eine Führungs- und Organisationsaufgabe. Entscheidend ist das Zusammenspiel aus Risikoanalyse, klaren Zuständigkeiten, geübten Abläufen und vernetzter Sicherheitstechnik. Erst daraus entsteht im Ernstfall das Lagebild, das schnelle Entscheidungen ermöglicht, Eskalationen verhindert und Einsatzkräfte gezielt unterstützt.

Autor

Alexander Stark
Alexander Stark
Freier Autor / Freelance Journalist