Sicherheit in Unternehmen

In den Konzepten der Gesamtverteidigung kommt der Wirtschaft eine zentrale Rolle zu. Aus diesem Grund müssen Unternehmen auf den Krisenfall sowie den damit verbundenen potenziellen Einschränkungen und Herausforderungen vorbereitet sein. So sind beispielsweise widerstandsfähige Produktions- und Lieferketten und geschützte kritische Infrastrukturen unverzichtbar, um im Ernstfall die Grundversorgung sicherstellen zu können. Zudem können im Ernstfall Leistungsverpflichtungen durch die öffentliche Hand ausgelöst werden. Interne Notfallpläne sowie Vorsorgemaßnahmen – wie ein Business Continuity Management (BCM) oder der Schutz vor hybriden Bedrohungen – müssen rechtzeitig getroffen werden.

Trotz aller bisherigen Herausforderungen durch Cyberangriffe waren diese vielfach auf eine begrenzte Zahl von Unternehmen und Institutionen beschränkt. Zudem erfolgen viele Angriffe unter Ausnutzung sogenannter Zero Day Exploits, also bislang unbekannter und dadurch noch nicht durch Virenscanner und weitere Schutzmaßnahmen abgedeckte Sicherheitslücken. Darüber hinaus werden Systeme oft bereits im Vorfeld kompromittiert, ausgespäht und eine Störung wird erst spät oder nie erkannt.

In bestimmten hybriden Szenarien ist jedoch mit zahlreichen gleichzeitigen Angriffen zu rechnen – sowohl hinsichtlich der betroffenen Organisationen als auch der Angriffsarten. Dies könnte IT-Sicherheitsressourcen überlasten und zu Verzögerungen bei der Unterstützung führen. Im schlimmsten Fall werden Daten oder Systeme zerstört, für die kein zeitnaher Ersatz bereitgestellt werden kann.

Je nach Risiko und Ergebnis der Abwägung könnte eine zentrale Maßnahme im Spannungs- oder Kriegsfall zum Beispiel auch in der Trennung besonders kritischer oder aller Systeme vom Internet bestehen, in Verbindung mit einer Datenübertragung über gesicherte Wege, wo dies erforderlich ist. Solche Maßnahmen sind jedoch im Einzelfall unter Einbindung von Experten zu prüfen.

Einer Sabotage geht in der Regel die Spionage voraus. Für kritische Infrastrukturen bestehen bereits Vorgaben und Anforderungen rund um den Schutz vor Sabotage. Bereits während der Corona-Krise hatte sich jedoch gezeigt, dass eine Vielzahl weiterer Produktsegmente, Dienstleistungen oder Unternehmen plötzlich systemrelevant werden können, wenn zum Beispiel bestimmte Komponenten fehlen oder eine ganze Berufsgruppe infolge eines extrem angestiegenen Dienstleistungsbedarfs gebunden ist.

Eine pauschale Ausweitung der KRITIS-Anforderungen auf alle potenziell betroffenen Sektoren wäre jedoch nicht zielführend. Stattdessen sollten Unternehmen individuell prüfen, ob sie von Spionage oder Sabotage bedroht sein könnten – insbesondere im Kontext hybrider Bedrohung. Die Verfassungsschutzbehörden bieten hierzu Informationsmaterial, Beratung und Unterstützung im Verdachtsfall. Aber auch vermeintlich kleine Aspekte können zu einem erhöhten Schutz vor Sabotage und Spionage beitragen. Darunter fallen grundsätzliche Fragen, ob das Gelände abgezäunt ist, eine Pforte aktiv betrieben wird oder bei welchen Aufgaben der Werksschutz eingebunden werden kann.

Viele Beschäftigte in den Unternehmen engagieren sich ehrenamtlich in Rettungsdiensten, Feuerwehren, Reservestrukturen oder anderen Organisationen. Die aus Friedenszeiten herangezogenen Annahmen bezüglich deren Verfügbarkeit sind in vielen Angriffsszenarien nicht mehr anwendbar, wenn die jeweiligen Kräfte gleichzeitig stärker beansprucht werden.

Deshalb ist es sinnvoll, die Zahl dieser Beschäftigten zu erfassen und die Auswirkungen ihres möglichen Ausfalls auf kritische Unternehmensprozesse zu bewerten. Dabei sind datenschutzrechtliche Vorgaben, Einwilligungen sowie mögliche Regelungen mit dem Betriebsrat zu beachten.

Abhängig vom erwartbaren Personalausfall kann es außerdem sinnvoll sein, den temporären Einsatz früherer Mitarbeitender, z. B. von ehemaligen Mitarbeitenden im Ruhestand, zu prüfen. Zusätzlich empfiehlt sich – je nach Lage – eine frühzeitige Sensibilisierung der Belegschaft für die möglichen Folgen sicherheitspolitischer Entwicklungen über bestehende Vorsorgemaßnahmen hinaus.

Im Ernstfall wären die Bundeswehr und die Polizei durch eine Vielzahl von Aufgaben gebunden. Bis auf Ausnahmen mit hoher Bedeutung für die Gesamtverteidigung wäre somit nicht damit zu rechnen, dass Militär oder Polizei für die Sicherung von Unternehmen oder deren Infrastruktur zur Verfügung stehen.

Gleichzeitig wäre mit einer deutlich erhöhten Nachfrage nach Dienstleistern und Personal für Wach- und Sicherungsaufgaben zu rechnen. Bei entsprechendem Bedarf sollten daher rechtzeitig die benötigten Kapazitäten gesichert werden.

Im Ernstfall und bei sich daraus ergebenden Störungen der Versorgung stehen die vorhandenen Reserven insbesondere den Streitkräften, Rettungsdiensten und weiteren für die Gesamtverteidigung relevanten Organisationen zur Verfügung.

Unternehmen sollten daher – abhängig vom Risiko und sicherheitspolitischen Umfeld – eigene Vorräte zur Sicherstellung geschäftskritischer Prozesse einplanen. Dabei sind rechtliche Vorgaben, etwa zu Arbeits- und Betriebssicherheit oder Gefahrstoffen, zu beachten.

Der Ukrainekrieg hat gezeigt, dass gezielte Angriffe auf die Energieversorgung ein effektives Mittel zur Schwächung des Gegners sein können. Auch in Deutschland wäre bei Sabotage oder hybriden Angriffen mit Stromausfällen zu rechnen – möglicherweise über längere Zeiträume.
Deshalb sollte je nach Gefährdungslage die Notwendigkeit einer Not- oder Eigenstromversorgung geprüft werden. Diese kann vom kleinen Aggregat für Grundfunktionen bis hin zu umfassenden Insellösungen für ganze Produktionsbereiche reichen.

Mobilfunk, Internet und IP-basierte Telefonie können ausfallen. Im Zuge der Notfallplanung sollte die Verfügbarkeit alternativer Kommunikationsmittel geprüft werden. Gegebenenfalls können ergänzend auch analoge Meldeketten zwischen Personen festgelegt oder in hinreichend enger Taktung zum Beispiel Treffpunkte und -zeiten bei Notfällen außerhalb der Betriebszeiten festgelegt werden.

Nicht nur in einem großen Konflikt wären Lieferketten gestört. Auch im Fall der Sabotage oder Bedrohung zum Beispiel von Schifffahrtswegen oder infolge einer Einflussnahme auf Lieferländer kann es zu einer Störung von Lieferketten kommen, sowohl national als auch international. Je nach Szenario kann es daher sinnvoll sein, sich proaktiv auf eine kurzfristige Umstellung oder Diversifizierung von Lieferketten vorzubereiten.

In Krisensituationen kann es – etwa durch Verunsicherung, Desinformation, gestörte Lieferketten oder Rohstoffmangel – zu starken Nachfragerückgängen oder Angebotsausfällen in bestimmten Branchen kommen, wie beispielsweise im Tourismus oder bei Luxusgütern. Obwohl auch in solchen Fällen zunächst die Prinzipien der sozialen Marktwirtschaft gelten, könnten zahlreiche Unternehmen kurzfristig in eine existenzbedrohende Lage geraten. Staatliche Unterstützungsmaßnahmen wie Steuererleichterungen oder Hilfsprogramme würden nicht automatisch greifen, sondern situationsabhängig beschlossen werden. Unternehmen sollten sich daher frühzeitig mit solchen Szenarien auseinandersetzen und entsprechende Notfallpläne samt Informationsquellen und interner Zuständigkeiten vorbereiten.

Glossar des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK)

Rahmenrichtlinien für die Gesamtverteidigung (RRGV)

Nationale Sicherheits- und Verteidigungsindustriestrategie

Konzeption Zivile Verteidigung (BMI)

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)

Informationen für Arbeitnehmer und Arbeitgeber (Reservistenverband)