Fragebogen zur Selbsteinschätzung der physischen Sicherheit

• Sicherheitsorganisation: Ist eine klare organisatorische Struktur für Sicherheit vorhanden? Gibt es benannte Verantwortliche für physische Sicherheit (z. B. Sicherheitsbeauftragter, Werkschutzleiter) und definierte Gremien oder Teams für Sicherheitsthemen?

• Hausrecht und Befugnisse: Ist das Hausrecht am Standort eindeutig geregelt und kommuniziert (wer darf Hausverbote aussprechen, wer hat Weisungsbefugnis gegenüber Besuchern und Fremdpersonal etc.)? Sind Befugnisse des Werkschutzes/Sicherheitsdienstes festgelegt (z. B. Durchsuchungsrecht bei Verdacht, Ausweiskontrolle)?

• Sicherheitsrichtlinien: Existiert eine schriftliche Sicherheitsleitlinie oder Richtlinie, die physische Sicherheitsmaßnahmen und Verhaltensregeln festlegt? Sind interne Vorschriften und Dienstanweisungen (z. B. für Sicherheitskräfte oder Empfangspersonal) verfügbar und allen Beteiligten bekannt?

• Überprüfung und Aktualisierung: Werden die Sicherheitsrichtlinien und -prozesse regelmäßig überprüft und bei Bedarf aktualisiert (z. B. jährliche Reviews, Anpassung an neue Bedrohungen oder gesetzliche Änderungen)? Gibt es einen Prozess, um Lücken oder Widersprüche in bestehenden Regelungen aufzudecken und zu verbessern?

• Gesetzliche Compliance: Wurden alle einschlägigen gesetzlichen und normativen Anforderungen im Sicherheitskonzept berücksichtigt (z. B. Arbeitsschutz- und Unfallverhütungsvorschriften, Betriebssicherheitsverordnung, Datenschutz bei Videoüberwachung)? Sind bei Planung und Betrieb des Standorts alle relevanten Normen und Vorschriften eingehalten?

• Schulung und Sensibilisierung: Werden Mitarbeiter regelmäßig über die geltenden Sicherheitsregeln unterwiesen und bezüglich physischer Sicherheit sensibilisiert (z. B. Unterweisung beim Onboarding, jährliche Sicherheitstrainings gemäß ArbSchG/DGUV)? (Siehe auch Kategorie 12 – Sensibilisierung)

• Geländeabgrenzung: Ist das Betriebsgelände klar gegen unbefugtes Betreten abgegrenzt (z. B. durch einen Zaun, Mauern oder andere physische Barrieren dem Risiko entsprechend)? Sind alle Außengrenzen des Geländes gesichert, ohne offensichtliche Lücken oder leicht überwindbare Abschnitte?

• Zugangswege zum Gelände: Gibt es klar definierte Zufahrten und Eingangspunkte, die auf ein Minimum beschränkt und geschützt sind (z. B. Haupttor, Pforte, Schrankenanlage)? Werden diese Eingänge außerhalb der Geschäftszeiten gesichert oder überwacht (z. B. verschlossen oder durch Sicherheitspersonal/Kameras kontrolliert)?

• Kontrollierte Perimeter-Zugänge: Werden Fahrzeuge und Personen bereits am Perimeter kontrolliert, bevor sie das Gelände betreten dürfen (z. B. Pförtnerservice, Anmeldung am Tor)? Gibt es technische Systeme zur Perimeterüberwachung, wie Bewegungsmelder oder Einbruchmelder entlang der Zaunlinie?

• Beleuchtung und Sichtbarkeit: Ist der Außenbereich ausreichend beleuchtet (insbesondere an Eingängen, Parkplätzen, Zaunverläufen), um Einbruchsversuche oder unbefugtes Betreten bei Dunkelheit abzuschrecken und erkennen zu können? Werden dunkle oder versteckte Bereiche auf dem Gelände durch Beleuchtung oder andere Maßnahmen minimiert?

• Tiefengestaffeltes Sicherheitskonzept: Wurde ein gestuftes Sicherheitskonzept nach dem Zwiebelschalenprinzip umgesetzt (mehrschichtiger Schutz von außen nach innen)? Beispielsweise eine Aufteilung in Außenbereich, kontrollierten Bereich, internen Bereich und Hochsicherheitsbereiche. Sind die Sicherheitsmaßnahmen in den inneren Bereichen zunehmend strenger (Steigerung der Schutzmaßnahmen je näher am Kern bzw. an kritischen Anlagen)?

• Beschilderung und Warnhinweise: Ist das Gelände mit Hinweisschildern versehen, die auf Zutrittsverbote, Videoüberwachung oder Privatgelände aufmerksam machen, um Unbefugte abzuschrecken? Sind sicherheitsrelevante Zonen deutlich gekennzeichnet (z. B. „Zutritt verboten – Hochsicherheitsbereich“)?

• Zutrittszonen und -rechte: Existieren klar definierte Zutrittszonen innerhalb des Standorts (z. B. öffentlich zugänglicher Bereich, Werksbereich, besonders schutzbedürftige Hochsicherheitsbereiche)? Sind Zugangsberechtigungen entsprechend diesen Zonen gestaffelt und nur an autorisiertes Personal vergeben?

• Elektronisches Zutrittskontrollsystem: Verfügt der Standort über ein Zutrittskontrollsystem (z. B. elektronische Karten-/Transponderausweise, PIN-Code, biometrische Leser) für Gebäude oder Bereiche? Wenn nein, gibt es alternative Zugangskontrollen (mechanische Schließsysteme mit Schlüsselmanagement)? Werden Zugänge wie Türen und Tore zuverlässig geschlossen gehalten und überwacht?

• Vergabe von Zutrittsrechten: Ist die Vergabe von Zutrittsberechtigungen formell geregelt und basiert auf dem Prinzip der Notwendigkeit? Nur diejenigen Personen, die es für ihre Aufgabe benötigen, erhalten Zugang zu sensiblen Bereichen. Werden Zutrittsrechte zentral verwaltet (z. B. durch die Personal-/Sicherheitsabteilung) und gibt es ein Verzeichnis aller aktiven Berechtigungen?

• Dokumentation und Überprüfung: Sind alle erteilten Zutrittsberechtigungen dokumentiert (z. B. in einer Zugriffsdatenbank oder Liste, inklusive Name, Bereich, Gültigkeitsdauer)? Werden die Zutrittsberechtigungen regelmäßig überprüft und aktualisiert (z. B. Deaktivieren von Berechtigungen nach Austritt von Mitarbeitern oder Ablauf von Aufträgen)?

• Wirksamkeit der Zutrittskontrolle: Werden die Zutrittskontroll-Maßnahmen regelmäßig auf ihre Wirksamkeit hin geprüft (z. B. Funktionstests der Systeme, Auswertung von Ereignislogs, Penetrationstests in Form von Versuchen, unbefugt einzudringen)? Gibt es Audits oder Begehungen, bei denen die Einhaltung der Zutrittsprozesse (z. B. kein „Tailgating“/Nachschleichen durch Türen) kontrolliert wird?

• Schlüssel- und Medienverwaltung: Falls physische Schlüssel im Einsatz sind: Existiert ein Schlüsselausgabebuch oder elektronisches Schlüsseldepot zur Verwaltung von Schlüsseln? Wie wird der Verlust von Schlüsseln oder Ausweisen gehandhabt (gibt es ein definiertes Verfahren zur Meldung und zum Austausch von Schlössern/Ausweisen bei Verlust)?

• Zugang für Externe: Haben Besucher und externe Dienstleister keinen Zugang zu sensiblen Bereichen ohne Begleitung oder Freigabe? (Details siehe Besuchermanagement und Fremdfirmenmanagement.) Werden temporäre Besucherausweise oder Zugangsmedien nach Rückgabe sofort deaktiviert?

• Videoüberwachung: Sind an strategisch wichtigen Punkten Videoüberwachungskameras installiert (z. B. an Ein- und Ausgängen, am Perimeter, in kritischen Innenräumen wie Serverräumen oder Archiven)? Deckt das Kamerasystem alle relevanten Bereiche ab, oder gibt es „tote Winkel“?

• Bewertung: (Grün = lückenlose Abdeckung, Gelb = teilweise, Rot = keine/kaum Kameras)

• Kamera-Betrieb und -Aufzeichnung: Werden die Kamerasignale in einer Sicherheitszentrale oder an der Pforte in Echtzeit beobachtet oder zumindest aufgezeichnet? Sind die Kameras funktionsfähig und liefern sie auch bei schlechten Lichtverhältnissen verwertbare Bilder (ggf. Infrarot-/Nachtfunktion)? Werden die Videoaufzeichnungen sicher gespeichert und gemäß Datenschutzrichtlinien nach einer definierten Aufbewahrungsfrist gelöscht?

• Einbruchmeldeanlage (EMA): Verfügt der Standort über eine Einbruchmeldeanlage, die unbefugtes Eindringen erkennt (z. B. Tür-/Fensterkontakte, Bewegungsmelder in Innenräumen, Glasbruchsensoren)? Sind sensible Bereiche und Gebäudeaußenhülle durch Alarmmelder geschützt, insbesondere außerhalb der Betriebszeiten? Werden Alarmmeldungen an eine 24/7 besetzte Stelle weitergeleitet (Leitstand vor Ort oder externer Wachschutz/Alarmempfangszentrale)?

• Brandmelde- und Gefahrenmeldesysteme: Ist eine automatische Brandmeldeanlage (BMA) installiert (Rauch- oder Wärmemelder in Gebäuden, ggf. Handfeuermelder)? Sind Alarmierungseinrichtungen vorhanden, um im Brandfall alle Personen zu warnen (Sirenen, Durchsagen) und die Feuerwehr zu alarmieren? Werden andere Gefahren (z. B. Gaslecks, technische Störungen) durch Sensoren überwacht und alarmiert?

• Alarmierungs- und Notfallsysteme: Bestehen Systeme zur Notfallalarmierung und Kommunikation im Ereignisfall (z. B. interne Lautsprecher/PA-System, Alarmierung via SMS/E-Mail/Pager an Verantwortliche)? Sind Notfallknöpfe oder stille Alarmierungsmöglichkeiten für Personal in kritischen Situationen (z. B. Überfallknopf) vorhanden?

• Wartung und Prüfung: Werden alle sicherheitstechnischen Anlagen regelmäßig gewartet und auf Funktionsfähigkeit getestet (z. B. jährliche Wartung der EMA/BMA durch Fachfirma, regelmäßige Probealarme und Funktionstests der Sirenen, Überprüfung der Kameras und Speicher)? Gibt es ein Wartungsprotokoll und werden festgestellte Mängel zeitnah behoben?

• Sabotageschutz und Ausfallsicherheit: Sind sicherheitstechnische Systeme gegen Sabotage geschützt (z. B. verdeckte/geschützte Verkabelung, Manipulationsschutz an Meldern/Kameras)? Verfügen kritische Sicherheitssysteme über Notstromversorgung oder Batteriepuffer, sodass sie auch bei Stromausfall weiter funktionieren (z. B. USV für Zutrittskontrollsystem, Alarmanlage und Überwachungstechnik)?

• Integration der Systeme: Arbeiten die verschiedenen Sicherheitssysteme zusammen (z. B. veranlasst ein Zutrittsversuch außerhalb der Berechtigungszeiten einen Alarm und eine gleichzeitige Videoaufzeichnung)? Öffnen Brandmeldeanlagen im Alarmfall automatisch Türen oder Tore für Feuerwehr und verschaffen gleichzeitig dem Sicherheitsdienst Überblick via Kameras?

• Vorhandensein von Sicherheitsdienst: Verfügt der Standort über eigenes Wach- und Sicherheitspersonal (Werkschutz) oder einen externen Sicherheitsdienst? Ist gewährleistet, dass zu definierten Zeiten (z. B. 24/7, zumindest nachts und an Wochenenden) geschultes Sicherheitspersonal vor Ort ist?

• Qualifikation und Gesetzesanforderungen: Sind die Sicherheitsmitarbeiter entsprechend ausgebildet und unterwiesen (z. B. Unterrichtung/Prüfung nach §34a GewO für Wachpersonal, Erste-Hilfe-Kenntnisse, Brandschutzhelfer-Ausbildung)? Erfüllt der beauftragte Sicherheitsdienst die rechtlichen Vorgaben und Unfallverhütungsvorschriften (DGUV Vorschrift 23 für Wach- und Sicherungsdienste etc.)? Werden regelmäßige Weiterbildungen durchgeführt?

• Dienstanweisungen und Aufgaben: Gibt es schriftliche Dienstanweisungen oder Postenbücher, die die Aufgaben des Sicherheitsdienstes klar beschreiben (z. B. Rundgangsintervalle, zu kontrollierende Punkte, Verhalten in bestimmten Situationen)? Sind Zuständigkeiten im Alarmfall für das Personal definiert (wer alarmiert Polizei/Feuerwehr, wer sperrt Bereiche ab etc.)?

• Streifengänge und Kontrollen: Führt das Sicherheits- oder Wachpersonal regelmäßige Rundgänge/Streifengänge auf dem Gelände und in den Gebäuden durch? Werden dabei Checklisten genutzt oder elektronische Wächterkontrollsysteme (RFID-Checkpoints) eingesetzt? Wie wird dokumentiert, dass Kontrollrunden erfolgt sind (z. B. elektronische Logs, Wachberichte)?

• Zutrittskontrolle durch Personal: Überwacht das Sicherheitspersonal aktiv Ein- und Ausgänge (z. B. Pförtner loggt Besucher ein, Kontrolle an Zufahrtswegen)? Hat der Werkschutz vom Standort her eine gute Übersicht über kritische Zugänge (z. B. Kameramonitore oder Sichtachsen vom Pförtnerhaus) und greift er ein, falls Unbefugte versuchen, einzudringen?

• Externe Unterstützung: Bestehen klare Alarmierungswege zur Unterstützung durch externe Stellen (Polizei, Alarmzentrale) falls das eigene Personal eine Lage nicht alleine bewältigen kann? Ist dem Wachpersonal bekannt, wann externe Hilfe gerufen werden muss (Eskalationsplan)?

• Ausstattung des Personals: Ist das Sicherheits-/Werkschutzpersonal mit geeigneter Ausrüstung ausgestattet (z. B. Funkgeräte, Mobiltelefon, Taschenlampe, Schutzausrüstung wie Westen)? Gibt es einen ständig besetzten Sicherheitsleitstand oder eine Pforte als Anlaufstelle?

• Anmeldeprozess: Gibt es einen definierten Prozess zur Anmeldung und Registrierung von Besuchern am Empfang oder Werktor? Müssen Besucher vorab angekündigt werden und sich beim Eintreffen ausweisen (z. B. durch Personalausweis, Führerschein)?

• Besucherausweise: Werden Besucher mit temporären Ausweisen oder Besucherbadges ausgestattet, die gut sichtbar getragen werden müssen? Sind diese Ausweise zeitlich begrenzt (nur für den Tag gültig) und unterscheiden sie sich optisch von Mitarbeiterausweisen, um Missbrauch vorzubeugen?

• Begleitung und Aufsicht: Müssen Besucher in sensiblen Bereichen von einem Mitarbeiter begleitet werden (Escort Policy)? Dürfen sich Besucher allein frei im Gebäude bewegen oder ist deren Zugang auf bestimmte Zonen beschränkt (z. B. nur Besprechungsräume)? Ist das Personal angehalten, fremde Personen ohne erkennbaren Ausweis anzusprechen und zu begleiten?

• Sicherheits- und Verhaltensregeln: Werden Besucher vor oder beim Betreten des Werks über relevante Sicherheitsvorschriften informiert (z. B. Rauchverbot, Fotoverbot, PSA-Pflicht in Produktionsbereichen)? Gibt es Besuchermerkblätter oder mündliche Sicherheitseinweisungen, insbesondere bei Besuchen in Produktions- oder Gefahrenbereichen (Arbeitsschutz)?

• Dokumentation: Werden die Besucherdaten (Name, Firma, Ansprechpartner, Uhrzeit von Ein- und Austritt) protokolliert? Wie lange werden diese Daten aufbewahrt und sind sie datenschutzkonform behandelt? Müssen Besucher beim Verlassen des Standorts sich wieder abmelden und ihren Ausweis zurückgeben, und wird dies kontrolliert?

• Umgang mit Verstößen: Gibt es Regeln für den Fall, dass sich ein Besucher nicht an die Vorschriften hält (z. B. Begleitperson informiert Sicherheitspersonal, Besucher wird des Geländes verwiesen)? Sind Mitarbeiter angewiesen, sicherheitsrelevante Zwischenfälle mit Besuchern zu melden?

• Zugangsregelung für Fremdfirmen: Gibt es Prozesse für den Zugang von Fremdfirmen (z. B. Handwerker, Wartungstechniker, Reinigungsdienst)? Müssen externe Dienstleister vor Arbeitsbeginn angemeldet werden und erhalten sie nur für den notwendigen Zeitraum und Bereich Zutritt (ggf. mittels Besucher- oder Fremdfirmenausweisen)?

• Sicherheitsunterweisung: Werden Fremdfirmen vor Aufnahme ihrer Tätigkeit über standortspezifische Sicherheits- und Arbeitsschutzregeln unterwiesen (z. B. Verhalten im Notfall, Gefahren am Arbeitsplatz, PSA-Anforderungen)? Unterschreiben externe Kräfte eine Bestätigung, dass sie die Sicherheitsanweisungen verstanden haben?

• Ver vertragliche Vereinbarungen: Enthalten Verträge oder Auftragsvereinbarungen mit Dienstleistern Sicherheitsklauseln (z. B. Verpflichtung zur Einhaltung von Geheimhaltung und Sicherheitsstandards, ggf. Nachweis von Zuverlässigkeit/Sicherheitsüberprüfungen bei kritischen Tätigkeiten)? Werden Nachunternehmer der Dienstleister ebenfalls erfasst und verpflichtet?

• Zutrittsbeschränkung und Begleitung: Ist der Zugang von Fremdfirmen auf die für sie relevanten Bereiche beschränkt (Prinzip der Bereichskonzession)? Werden besonders sicherheitskritische Arbeiten von Fremdfirmen durch eigene Mitarbeiter begleitet oder überwacht (z. B. Arbeiten im IT-Raum nur unter Aufsicht)?

• Kennzeichnung und Aufsicht: Müssen Fremdfirmen-Mitarbeiter sich vor Ort kenntlich machen (z. B. durch spezielle Ausweise oder Besucherwesten) und werden sie von den Mitarbeitern des Unternehmens überwacht? Gibt es für länger anwesende Fremdarbeiter (z. B. Bauprojekte) besondere Sicherheitsbriefings oder regelmäßige Abstimmungen?

• Werkzeug- und Materialkontrolle: Werden die von Fremdfirmen mitgebrachten Werkzeuge/Materialien beim Zugang registriert und beim Abtransport kontrolliert, um Diebstahl von Firmeneigentum oder das Zurücklassen gefährlicher Gegenstände zu verhindern? (Siehe auch Kategorie 11 – Eigentumskontrolle)

• Bewertung der Fremdfirmen: Findet im Nachgang eine Bewertung oder Auditierung wichtiger Fremdfirmen in Bezug auf Sicherheitsverhalten statt (z. B. hat sich die Firma an alle Regeln gehalten, gab es Zwischenfälle)? Werden bei wiederholtem Verstoß Konsequenzen gezogen (bis hin zum Betretungsverbot für bestimmte Dienstleister)?

• Stromversorgung und USV: Ist die Stromversorgung der Einrichtung gegen Ausfall geschützt? Gibt es USV-Anlagen (unterbrechungsfreie Stromversorgung) für kritische Systeme (z. B. Serverräume, Sicherheitstechnik) und ggf. Notstromaggregate, die einen längeren Stromausfall überbrücken können? Werden diese Einrichtungen regelmäßig getestet (z. B. Probelauf der Notstromdiesel)?

• Redundante Versorgungswege: Verfügt der Standort über redundante Zuleitungen oder Versorgungspfade für wichtige Infrastrukturen (z. B. zwei separate Stromzuführungen von unterschiedlichen Umspannwerken, redundante Netzwerkanbindung, Ersatz-Wasserquelle für Löschwasser)? Falls eine Redundanz nicht möglich ist, gibt es Notfallpläne für den Ausfall (z. B. Bevorratung von Produktionswasser, Backup-Kommunikationswege über Satellit)?

• Technische Infrastruktur und Sicherheit: Sind technische Versorgungsräume (z. B. Transformator-Station, Serverraum, Pumpen) physisch gesichert gegen unbefugten Zutritt (verschlossene Technikräume, Zugang nur für befugtes Personal)? Sind kritische Infrastrukturkomponenten vor äußeren Einflüssen geschützt (z. B. Überflutungsschutz für kellergelegene Anlagen, Klimatisierung und Brandschutz in Serverräumen)?

• Schutz vor Sabotage: Wurden Maßnahmen getroffen, um vorsätzliche Störungen der Versorgung zu verhindern (z. B. abschließbare Schaltkästen, Alarm bei Öffnen von technischen Schächten, Kontrollen von externem Personal wie Lieferanten oder Techniker)? Werden wichtige Kabel und Leitungen (Strom, Daten, Telefon) physisch so verlegt oder gekennzeichnet, dass das Risiko von vorsätzlicher Beschädigung oder versehentlicher Unterbrechung minimiert ist?

• Wartung und Monitoring: Ist die Versorgungstechnik (Notstrom, Klima, Druckluft, etc.) in ein Monitoring eingebunden, das Störungen sofort meldet (z. B. Gebäudeleittechnik oder Alarmmeldung bei Temperaturanstieg im Serverraum)? Gibt es festgelegte Wartungsintervalle und Verantwortliche für die Instandhaltung aller versorgungsrelevanten Anlagen?

• Betrieb kritischer Systeme: Können sicherheitsrelevante Systeme (z. B. Alarmanlage, Zutrittskontrolle, Notbeleuchtung, Feuerlöschpumpe) auch im Notstrombetrieb oder bei Ausfall einzelner Komponenten weiterarbeiten? Sind dafür ausreichende Kapazitäten (Batterien, Treibstoffvorrat für Generatoren) vorhanden?

• Risikobewertung: Werden regelmäßig Gefährdungsbeurteilungen oder Risikoanalysen im Hinblick auf physische Sicherheitsbedrohungen durchgeführt (z. B. Risiken wie Einbruch, Sabotage, Spionage, Naturkatastrophen, interne Täter)? Fließen die Ergebnisse in die Planung von Schutzmaßnahmen ein und werden Risiken dokumentiert?

• Notfall- und Alarmpläne: Existieren schriftliche Notfallpläne für verschiedene Szenarien am Standort (z. B. Einbruch/Diebstahl, Brand/Explosion, Bombendrohung, Stromausfall, IT-Ausfall, Umweltunfall)? Enthalten diese Pläne klare Handlungsanweisungen und Verantwortlichkeiten für die Erstreaktion und Folgemaßnahmen?

• Evakuierungs- und Rettungspläne: Gibt es Evakuierungspläne für Gebäude (Aushänge mit Flucht- und Rettungswegen) und definierte Sammelplätze für den Notfall? Sind Räumungshelfer/Evakuierungshelfer benannt und geschult? Werden Evakuierungsübungen regelmäßig (mindestens jährlich) durchgeführt und ausgewertet?

• Notfallübungen und Schulungen: Finden neben Evakuierungsübungen auch andere Notfalltests statt, z. B. Probealarme, Szenario-basierte Planspiele oder „Dry Runs“ für Einbruch- oder Amoklagen? Werden die Mitarbeiter über das richtige Verhalten in Notfällen geschult (z. B. über Alarmierungswege, Nutzung von Feuerlöschern, Räume sichern bei Amok)?

• Incident Response (Vorfallsmanagement): Gibt es ein Verfahren zur Meldung und Behandlung von Sicherheitsvorfällen? Werden sicherheitsrelevante Zwischenfälle (z. B. entdeckte Einbruchspuren, Diebstähle, Vandalismus, fast accidents) erfasst und untersucht? Ist definiert, wer intern zu informieren ist und wann externe Stellen (Polizei, BSI bei KRITIS) informiert werden müssen?

• Krisenmanagement und Business Continuity: Wurde für gravierende Ereignisse ein übergreifender Notfall- oder Krisenmanagementplan erstellt (Business Continuity Plan)? Ist ein Krisenteam benannt, das im Ernstfall die Steuerung übernimmt (inkl. Vertretungsregelungen)? Sind Kommunikationswege im Krisenfall festgelegt (Hotlines, Notfallkontakte der Leitung, Pressekommunikation)?

• Dokumentenmanagement der Pläne: Sind alle Notfall- und Gefahrenabwehrpläne schriftlich dokumentiert, zentral abgelegt und für relevante Personen jederzeit zugänglich (auch im Notfall, z. B. analog in Papierform)? Werden die Pläne regelmäßig aktualisiert (z. B. mindestens jährlich oder nach Änderungen in der Organisation/Technik) und die Aktualität überprüft?

• Zusammenarbeit mit Behörden: Bestehen Kooperationen oder Abstimmungen mit externen Hilfsorganisationen und Behörden (Feuerwehr, Polizei, Katastrophenschutz) für Notfälle? Wurden ggf. gemeinsame Begehungen oder Übungen mit der Feuerwehr/Polizei durchgeführt, um auf Ernstfälle vorbereitet zu sein?

• Sicherung von Lagerbereichen: Sind Lager, Archive und Magazinbereiche physisch gesichert (abschließbare Räume, Zugang nur für berechtigtes Personal)? Werden besonders wertvolle oder diebstahlgefährdete Güter in separaten, zusätzlich gesicherten Bereichen gelagert (z. B. Käfige, Tresore, abschließbare Schränke für Kleinteile mit hohem Wert)?

• Wareneingangskontrolle: Werden eintreffende Lieferungen und Pakete einer Sicherheitskontrolle unterzogen (z. B. Abgleich von Lieferschein und Bestellung, Prüfung auf Unversehrtheit der Verpackung/Siegel, stichprobenartige Öffnung durch berechtigtes Personal)? Gibt es Vorgaben, wie mit unerwarteten oder verdächtigen Sendungen umzugehen ist (z. B. Alarmierung, nicht öffnen bei Verdacht auf Gefahr)?

• Warenausgangs- und Versandkontrolle: Wird der Versand von Waren oder das Herausbringen von Firmenmaterial kontrolliert (z. B. Freigabeverfahren für ausgehende Güter, Plomben/Siegel auf LKW-Ladungen, Kontrolle durch Werkschutz an der Ausfahrt)? Ist dokumentiert, welche Materialien das Gelände verlassen (Lieferscheine, Materialausgabe-Belege) und wird dies mit den Genehmigungen abgeglichen?

• Eigentumskontrollen (Theft Prevention): Werden an Ausgängen stichprobenartig Taschenkontrollen bei Mitarbeitern oder Dienstleistern durchgeführt, um Diebstahl von Firmeneigentum zu verhindern (unter Wahrung von Rechtsvorschriften und freiwilliger Basis)? Gibt es eine Regelung, dass das Entfernen von Firmeneigentum (Werkzeuge, Laptops, Muster) nur mit Genehmigung erfolgen darf (z. B. schriftlicher Materialentnahmeschein oder Eintrag in Liste)?

• Inventur und Bestandsüberwachung: Finden regelmäßige Inventuren oder Bestandskontrollen in Lagern und Depots statt, um Fehlbestände zeitnah zu erkennen? Werden Zugänge zu Lagerverwaltungssystemen kontrolliert, um Manipulation oder unberechtigte Entnahme zu verhindern (Schnittstelle zur IT-Sicherheit)?

• Gefahrstoff- und Speziallager: Falls am Standort Gefahrstoffe oder sensible Materialien (z. B. Sprengstoffe, radioaktive Materialien, Betäubungsmittel) gelagert werden: Sind die gesetzlichen Anforderungen an deren Lagerung und Zugangskontrolle erfüllt (nur speziell zugelassene Personen, besondere Bautechnische Sicherungen, Überwachung durch Sensorik)?

• Interne Materialflüsse: Sind innerbetriebliche Transporte von wertvollen oder sicherheitsrelevanten Gütern besonders gesichert oder begleitet (z. B. Transport von hochwertigen Zwischenprodukten nur auf definierten Routen, ggf. mit zwei Personen)? Gibt es Regelungen zur Annahme und Ausgabe von Werkzeugen, Laptops oder Fahrzeugschlüsseln, um Missbrauch zu vermeiden?

• Dokumentation der Sicherheitsmaßnahmen: Werden alle wichtigen Aspekte der physischen Sicherheit dokumentiert (Sicherheitskonzepte, Bedienungsanleitungen für Anlagen, Wartungs- und Prüfprotokolle, Besucherprotokolle, Vorfallberichte)? Ist klar geregelt, welche Dokumente aufbewahrt werden müssen und wer darauf Zugriff hat?

• Protokollierung und Nachvollziehbarkeit: Werden sicherheitsrelevante Ereignisse protokolliert (z. B. Zutrittskontrollsystem-Logs, Alarmjournal der EMA/BMA, Videobewegungsmelder-Logs)? Sind diese Protokolle gegen Manipulation geschützt und werden sie regelmäßig ausgewertet, um Unregelmäßigkeiten festzustellen?

• Interne Audits und Begehungen: Finden regelmäßige Audits oder Rundgänge statt, um die Einhaltung der physischen Sicherheitsstandards zu überprüfen (z. B. interne Audit-Checkliste jährlich, ggf. externer Audit im Rahmen von Zertifizierungen)? Werden dabei alle Bereiche und Schichten der Sicherheit geprüft (Organisationsprozesse und technische/bauliche Kontrollen)?

• Umgang mit Auditfeststellungen: Gibt es einen Prozess zur Nachverfolgung von festgestellten Mängeln oder Verbesserungsmöglichkeiten aus Audits, Begehungen oder Vorfällen? Werden Verantwortlichkeiten zur Behebung definiert und Korrekturmaßnahmen zeitnah umgesetzt und überprüft?

• Sensibilisierung und Schulung: Werden Mitarbeiter regelmäßig in Sicherheitsbewusstsein geschult (z. B. jährliche Sicherheitsschulungen, Phishing-Tests für Social Engineering Awareness, Unterweisungen wie man unbefugte Personen erkennt und meldet)? Ist physischen Sicherheitsaspekten (z. B. Tür nicht offen lassen, Fremde ansprechen) ein fester Platz im Schulungsplan eingeräumt?

• Kultur und Meldesystem: Existiert eine Unternehmenskultur, die Sicherheit unterstützt (z. B. Führungskräfte achten auf Vorbildfunktion, Lob für aufmerksames Verhalten)? Können Mitarbeiter Sicherheitsbedenken oder Verbesserungsvorschläge niedrigschwellig melden (z. B. Meldeformular, Ideenbriefkasten, Hotline)? Werden solche Meldungen ausgewertet und fließt Feedback zurück an die Belegschaft?

• Kontinuierliche Verbesserung: Wird die Effektivität der physischen Sicherheitsmaßnahmen insgesamt regelmäßig bewertet, z. B. im Rahmen von Management-Reviews oder Sicherheitsreports? Werden Kennzahlen herangezogen (Anzahl Vorfälle, Audit-Score, Ampelbewertung der Selbsteinschätzung etc.), um Trends zu erkennen und bei Bedarf Maßnahmen anzupassen?

Dieser Fragebogen kann zur internen Selbstbewertung genutzt werden. Eine Auswertung kann z. B. in Form eines Ampelsystems mit einem zusammenfassenden Statusbericht erfolgen. Er ersetzt keine offizielle Zertifizierung oder Prüfung, bietet jedoch eine umfassende Grundlage, um Schwachstellen zu identifizieren und gezielte Verbesserungsmaßnahmen abzuleiten. Alle Fragen sollten ehrlich beantwortet werden; Rot oder niedrige Werte auf der Skala weisen auf dringenden Handlungsbedarf hin, Gelb auf Optimierungspotenzial und Grün auf einen erfüllten Standard. Durch regelmäßige Wiederholung der Selbsteinschätzung kann der Fortschritt im Sicherheitsniveau überprüft und dokumentiert werden.