Resilienzmaßnahmen eines Großunternehmens

• Preventing incidents from occurring – emergency preparedness and preventive risk minimization.

• Appropriate physical protection of properties and critical facilities – structural and technical security (perimeter protection, property protection), monitoring, detection, access control.

• Incident response, prevention, and mitigation – organizational risk and crisis management, alarm and emergency protocols.

• Restoration of critical services after incidents – continuity of operations (emergency power supply, etc.), alternative supply chains and redundancies.

• Security management for internal and external personnel – security clearances, access authorizations, and protection of employees and service providers.

• Training, exercises and awareness-raising of staff – regular training and awareness measures on points 1 to 5.

Wichtig ist dabei ein ganzheitlicher Ansatz: Alle genannten Handlungsfelder greifen ineinander und müssen im Rahmen eines integrierten Sicherheitsmanagements umgesetzt werden. Das Unternehmen sollte daher ein zentrales Resilienz-Management-Team einrichten, das die Maßnahmen standortübergreifend koordiniert und kontinuierlich überprüft sowie an neue Gefahrenlagen anpasst.

• Risikobewertung und -analyse: Alle Standorte und Prozesse werden regelmäßig auf Risiken untersucht. Mögliche Gefährdungen – von Naturkatastrophen (z.B. Überschwemmungen in Tagebauen, Erdbeben, extreme Wetterlagen) über technisches Versagen (Großgeräteausfälle, Versorgungsstörungen) bis hin zu menschlichem Fehlverhalten oder vorsätzlichen Angriffen (Diebstahl, Sabotage, Cyber-Angriffe) – müssen systematisch identifiziert und hinsichtlich Eintrittswahrscheinlichkeit und Schadensausmaß bewertet werden. Insbesondere gilt es, Wechselwirkungen und Kaskadeneffekte zu beachten, da Ausfälle in einem Bereich (z.B. Stromversorgung) schnell andere Bereiche betreffen können. Die Risikoanalyse ist gemäß KRITIS-DachG alle vier Jahre (oder bei wesentlichen Änderungen) zu aktualisieren.

• Notfall- und Vorsorgepläne: Basierend auf den Risikoanalysen sind Notfallpläne für verschiedene Szenarien zu erstellen. Diese Pläne legen fest, welche Vorsorgemaßnahmen zu treffen sind, um das Eintreten von Krisen zu vermeiden. Beispielsweise können redundante Pumpensysteme installiert werden, um einen Grubeneinbruch durch Wassereinbruch zu verhindern, oder es werden Brandschutzkonzepte implementiert, um Grubenbrände zu vermeiden. All-Gefahren-Ansatz: Das Unternehmen verfolgt einen umfassenden Ansatz, der Naturereignisse, Unfälle und bewusste Schadensakte gleichermaßen berücksichtigt. Dazu gehört etwa, frühzeitig auf Wetterwarnungen zu reagieren, technische Anlagen regelmäßig zu warten und zu prüfen, sowie Zugänge gegen unbefugte Nutzung zu sichern, um Sabotage vorzubeugen.

• Frühwarn- und Detektionssysteme: Ein wichtiges Element der Prävention ist die Einrichtung von Sensoren und Detektionsgeräten, die Anomalien frühzeitig erkennen. Dies kann z.B. Gaswarnsensorik im Bergwerk einschließen, Vibrationssensoren zur Erkennung von ungewöhnlichen Bodenbewegungen oder IoT-Geräte zur Zustandsüberwachung von kritischem Equipment. Moderne Industrial Monitoring-Systeme können Ausfälle antizipieren (Predictive Maintenance) und automatisch Warnmeldungen generieren, bevor ein Störfall eintritt.

• Übungen und Tests: Zur Notfallvorsorge zählt auch, dass präventive Maßnahmen regelmäßig auf Wirksamkeit getestet werden. Probealarme, Notfallübungen und Simulationen (z.B. ein Übungsszenario “Stromausfall im Schacht” oder “Chemieunfall im Aufbereitungswerk”) helfen, Lücken in der Vorbereitung aufzudecken und das Personal mit Notfallverfahren vertraut zu machen. Aus solchen Übungen gewonnene Erkenntnisse fließen wiederum in die Präventionsplanung ein.

In Summe schafft das Unternehmen damit eine Kultur der Vorbeugung. Risiken werden aktiv gemanagt, bevor sie sich materialisieren. Durch diese Notfallvorsorge soll die Eintrittswahrscheinlichkeit von Vorfällen so gering wie möglich gehalten werden. Dennoch können Risiken nie gänzlich eliminiert werden – daher sind die nachfolgenden Maßnahmenfelder ebenso essenziell.

• Perimeterschutz: Alle Standorte werden von robusten physischen Barrieren umgeben. Dies beinhaltet z.B. Zäune mit Übersteigschutz, gesicherte Tore und Schranken, Wall- und Grabenanlagen um Gruben, sowie natürliche Barrieren (z.B. Erdanhäufungen) an nicht autorisierten Zugangsstellen. Der Perimeterschutz wird durch elektronische Hilfsmittel ergänzt, etwa Bewegungsmelder, Infrarot- und Wärmebildkameras oder Radarsensoren, die eine Annäherung an das Gelände detektieren. Eindringversuche sollen so früh erkannt und verzögert werden. Für einen der großen Werksstandorte wurden die Investitionskosten für einen umfassenden Perimeterschutz auf circa 570.000 € veranschlagt – hierin enthalten sind unter anderem die Errichtung von Hochsicherheitszäunen, Installation von Kameratürmen, Beleuchtung und Sensorik sowie Anbindung an die Leitstelle. Diese erhebliche Summe verdeutlicht, dass Schutz kritischer Standorte eine substanzielle finanzielle Investition erfordert, die jedoch angesichts der zu schützenden Werte und der gesetzlichen Pflicht unumgänglich ist.

• Zugangskontrollen: An allen offiziellen Zugangspunkten (Werkstore, Zufahrten, Verwaltungsgebäude, Schachteingänge) sind strenge Zutrittskontrollsysteme implementiert. Mitarbeiter, Besucher und Dienstleister müssen sich ausweisen und erhalten nur entsprechend ihrer Berechtigung Zugang. Moderne Systeme kombinieren mechanische Zugangssperren (Tore, Drehsperren) mit elektronischer Kontrolle (Kartenleser, biometrische Scanner). Für besonders sensible Bereiche (z.B. Sprengstofflager, Leitwarte) gelten Mehr-Faktor-Authentifizierungen und Begleitpflichten. Ein zentrales Besuchermanagement stellt sicher, dass Gäste nur in Begleitung autorisierten Personals in sicherheitskritische Zonen gelangen. Außerdem werden Fahrzeugkontrollen durchgeführt (z.B. LKW-Checks am Werkstor, Unterboden-Scanner, ggf. Durchleuchtung) um Gefahren wie Sprengstoff oder Waffen einzuschließen.

• Überwachung und Detektion: Das Gelände und kritische Anlagen werden durch ein dichtes Netz an Videoüberwachung und Alarmsensorik überwacht. Closed-Circuit Television (CCTV) Kameras – teils schwenk- und zoomfähig – decken die Perimeter und interne Bereiche ab. Viele Kameras sind heute mit intelligenter Videoanalyse ausgestattet: mittels Künstlicher Intelligenz erkennen sie automatisch ungewöhnliche Bewegungsmuster oder unerlaubtes Eindringen und alarmieren proaktiv die Leitstelle. Dadurch können Sicherheitsvorfälle frühzeitig identifiziert und Fehlalarme reduziert werden. Ergänzend schützen Einbruchmeldeanlagen Türen, Fenster und Zugänge zu Gebäuden; Bewegungs- und Geräuschsensoren melden Aktivitäten in sensiblen Zonen (z.B. unbefugtes Betreten von Schaltanlagen). Drohnenpatrouillen könnten in Zukunft den großen Arealbereich autonom abfliegen und mittels Wärmebild kritische Bereiche inspizieren – erste Pilotprojekte im Industriepark- und Bergbauumfeld nutzen solche Technologien bereits. Alle Sensordaten laufen in einer zentralen Leitstelle zusammen, wo sie rund um die Uhr von geschultem Personal oder einem Security Operations Center (SOC) überwacht werden.

• Werkschutz und Objektsicherheit: Unverzichtbar ist der Einsatz von Sicherheitspersonal (Werkschutzdienst oder eigener Objektschutz). Geschulte Sicherheitskräfte patrouillieren regelmäßig auf dem Gelände, überprüfen Türen, Tore und Zäune und können im Ernstfall eingreifen. Insbesondere nachts und an Wochenenden wird an den Standorten eine erhöhte Präsenz sichergestellt (ggf. unterstützt durch Hundeführer oder externe Sicherheitsdienste). Der Objektschutz übernimmt auch Aufgaben wie die Kontrolle von Frachtraum und Lieferungen (um etwa eingeschmuggelte Gefahrstoffe aufzudecken) und das Monitoring von Alarmmeldungen. Ein 24/7-Wachhabender in der Leitstelle koordiniert die Einsatzkräfte und hält Kontakt zu öffentlichen Stellen (Polizei, Feuerwehr) im Alarmfall. Wichtig ist zudem die Ausstattung der Sicherheitskräfte mit geeigneter Technik (Kommunikation, Schutzausrüstung) und klaren Einsatzprotokollen.

All diese Maßnahmen sollen gewährleisten, dass der Angriff auf Anlagen erheblich erschwert und im Idealfall verhindert wird. Sicherheitsmaßnahmen greifen dabei ineinander: Mechanische Barrieren verzögern Eindringlinge, elektronische Überwachung entdeckt sie frühzeitig, und das Sicherheitspersonal kann unmittelbar reagieren. Moderne Konzepte betonen außerdem die Verzahnung von physischer Sicherheit und IT-Sicherheit – „Sicherheit hört heute nicht mehr beim Zaun auf“ wie ein Branchenexperte betont; physische Perimeterschutzsysteme müssen eng mit Cyber-Sicherheit gekoppelt sein, etwa über integrierte Plattformen, die alle Informationen in Echtzeit zusammenführen. So könnten z.B. Kamerabilder, Zutrittslogs und Cyber-Incident-Alerts in einem gemeinsamen Lagebild dargestellt werden, um hybride Bedrohungen besser abwehren zu können.

• Krisenorganisation und -protokolle: Es wird ein Krisenstab eingerichtet, der im Ereignisfall sofort zusammentritt. Die Zusammensetzung sollte alle relevanten Funktionen abdecken – Geschäftsführung, Werksleitung der betroffenen Standorte, Sicherheit (physisch & IT), Technik, Kommunikation, Rechtsabteilung und ggf. externe Berater (z.B. für Umwelt oder PR). Bereits im Vorfeld sind Alarmierungs- und Eskalationsprotokolle festzulegen: Wer informiert wen bei welchem Szenario? Wie wird intern und extern (Behörden, Medien) kommuniziert? – Diese Pläne werden in einem Krisenhandbuch festgehalten und müssen allen Schlüsselpersonen bekannt sein. Krisenreaktionspläne existieren idealerweise für verschiedene Szenarientypen (z.B. Bombendrohung, Großbrand, IT-Ausfall, Anschlag auf Mitarbeiter, schwere Unfälle im Bergwerk). Wichtig sind auch Vereinbarungen für den Kommunikationsfluss: z.B. eine ständig erreichbare Notfall-Hotline und Rückfallebene (etwa Satellitentelefone, falls Telefonnetze ausfallen).

• Sofortmaßnahmen und Abwehr: Bei Eintreten eines Vorfalls muss das Unternehmen schnellstmöglich Maßnahmen ergreifen, um Schaden abzuwenden oder zu begrenzen. Dazu gehören z.B. technische Notabschaltungen (um größere Schäden zu verhindern), Evakuierungsmaßnahmen (für betroffene Bereiche, falls Gefahr für Leben besteht) oder Brandbekämpfung durch interne und externe Kräfte. Das Unternehmen muss auf solche Maßnahmen vorbereitet sein, etwa durch Vorhaltung von Notfallausrüstung (Feuerlöschgeräte, Erste-Hilfe, persönliche Schutzausrüstung, mobile Stromaggregate, etc.) und durch Absprachen mit externen Helfern (Werkfeuerwehr, kommunale Feuerwehr, Rettungsdienste). Auch Cyber-Incidents (wie Ransomware-Befall der IT) müssen durch vorbereitete Incident-Response-Prozesse adressiert werden – hierzu sollte das Unternehmen einen IT-Notfallplan gemäß BSI-Standards besitzen, doch das fällt eher unter NIS2-Pflichten.

• Risiko-Management während der Krise: Ein qualifiziertes Risiko-Management-Team beobachtet im Ereignisfall die Lage und bewertet laufend die Rest-Risiken. Es unterstützt den Krisenstab dabei, Entscheidungen zu treffen: z.B. ob ein Standort komplett heruntergefahren werden muss, ob weitere Sicherheitsmaßnahmen erforderlich sind, oder wann die Produktion schrittweise wieder anlaufen kann. Das systematische Vorgehen nach zuvor definierten Kriterien (Schwellenwerten) hilft, in der Stresssituation klare Entscheidungen zu treffen. Dokumentation ist ebenfalls wichtig: Jeder Vorfall wird protokolliert, um im Nachgang daraus lernen zu können.

• Meldewesen und Behördenkooperation: Gemäß gesetzlichen Vorgaben muss jeder erhebliche Sicherheitsvorfall unverzüglich an die zuständigen Behörden gemeldet werden (in Deutschland soll eine zentrale Meldestelle bei BSI/BBK eingerichtet werden). Das Unternehmen richtet interne Prozesse ein, um diese Meldepflicht (innerhalb 24 Stunden für erhebliche Vorfälle) zu erfüllen. Gleichzeitig wird eine enge Zusammenarbeit mit Behörden (Polizei, Staatsschutz, technische Aufsichtsbehörden) gepflegt. Idealerweise bestehen schon vor einem Vorfall Ansprechpartner bei Polizei und Verfassungsschutz, um z.B. bei drohenden Sabotagelagen schnell Unterstützung zu erhalten. Die Behörden können das Unternehmen im Krisenfall beraten (Beratungsmissionen nach KRITIS-DachG) oder operative Hilfe leisten. Regelmäßiger Informationsaustausch – auch mit Branchenverbänden und ggf. anderen KRITIS-Betreibern – erhöht die Reaktionsfähigkeit.

Ein zentraler Bestandteil der Vorfallreaktion ist die Kommunikation – intern, zu Mitarbeitern, und extern zur Öffentlichkeit. Ein durchdachtes Krisenkommunikationskonzept stellt sicher, dass transparent, sachlich und schnell informiert wird, um Gerüchten vorzubeugen und Vertrauen zu erhalten. Dies ist besonders wichtig, falls ein Vorfall die öffentliche Wahrnehmung betrifft (z.B. bei Umweltwirkungen eines Unfalls). Das Unternehmen muss entsprechende Pressestatements vorbereiten und eventuell Sprecher benennen.

Letztlich zielt all das darauf, die Handlungsfähigkeit im Krisenfall zu gewährleisten. Ein effektives Risiko- und Krisenmanagement ist entscheidend, um auch bei schweren Störungen kontrolliert agieren zu können und die Auswirkungen zu minimieren. Entscheidend ist, dass jedes Mitglied der Organisation seine Rolle im Krisenfall kennt und dass Abläufe eingeübt sind. So kann der Vorfall eingedämmt und die gesellschaftlichen Folgen (Versorgung, Sicherheit) möglichst gering gehalten werden.

• Notstrom- und Notfallsysteme: Da ein Stromausfall eine der gravierendsten Bedrohungen für den Betrieb darstellt (Förderanlagen, Belüftung, Kühlkreisläufe etc. hängen vom Strom ab), müssen Notstromaggregate in ausreichender Kapazität vorgehalten werden. Typischerweise werden an jedem größeren Standort USV-Anlagen (Unterbrechungsfreie Stromversorgungen) für kritische Steuerungssysteme und Diesel-Notstromgeneratoren für die Aufrechterhaltung des Grundbetriebs installiert. Diese können bei Stromnetz-Ausfall zumindest Beleuchtung, Kommunikation und minimale Prozesse für mehrere Stunden bis Tage aufrechterhalten. Ähnliches gilt für andere kritische Versorgungen: Notbrunnen oder Wasserreservoirs für Kühl- und Löschwasser, Vorräte an Druckluft für Steuerungen, etc. – all dies gehört in die Notfallinfrastruktur. Die Systeme sind regelmäßig zu testen (Probeläufe der Generatoren etc.), damit sie im Ernstfall zuverlässig funktionieren.

• Daten- und IT-Wiederherstellung: Sollte die IT-Infrastruktur betroffen sein (sei es durch Cyberangriff oder physischen Schaden an Rechenzentren), braucht es Pläne zur Datenwiederherstellung und Backup-Systeme. Wichtige Betriebsdaten (z.B. Produktionspläne, Maschinensteuerungen) werden regelmäßig gesichert und an einem sicheren externen Ort aufbewahrt. Ein Disaster-Recovery-Plan definiert, wie die IT-Systeme neu aufgesetzt werden können. Gegebenenfalls betreibt das Unternehmen ein räumlich getrenntes Backup-Leitsystem oder Ausweich-Rechenzentrum, auf das im Notfall umgeschaltet werden kann.

• Ersatzteile und Redundanzen: In der Produktion sollten kritische Komponenten redundant ausgelegt sein – z.B. wenn der Hauptbagger in einem Tagebau ausfällt, steht ein Ersatzgerät bereit; zentrale Fördersysteme können bei Ausfall durch alternative Routen umgangen werden. Außerdem ist ein Ersatzteillager für wichtige Verschleißteile und Spezialkomponenten sinnvoll, um Reparaturen ohne lange Lieferzeiten durchführen zu können. Das Unternehmen muss identifizieren, welche Teile und Ausrüstungen kritisch sind (sogenannte Single Points of Failure) und hier entweder Redundanz schaffen oder ausreichende Lagerhaltung betreiben.

• Alternative Lieferketten: Falls das Unternehmen selbst Vorleistungen oder Fremdleistungen bezieht (z.B. Sprengstoff für den Abbau, Chemikalien für Erzaufbereitung, oder externe Stromversorgung für das Werk), sollte es für den Krisenfall alternative Bezugsquellen oder Vorräte einplanen. Zum Beispiel könnten für einige Wochen ausreichende Mengen wichtiger Betriebsmittel auf Vorrat gehalten werden. Bei Rohstofflieferungen an Kunden sind Ausweichpläne nötig: Gibt es alternative Transportwege (etwa wenn ein Verladebahnhof ausfällt, kann über LKW verteilt werden)? Kann im Notfall ein anderer Standort des Konzerns die Produktion teilweise kompensieren? Solche Überlegungen fließen in einen Business Continuity Plan (BCP) ein, der sicherstellt, dass die kritische Dienstleistung – hier die Rohstofflieferung – auch unter Krisenbedingungen möglichst wenig und kurz beeinträchtigt ist.

• Wiederanlaufplanung: Ist ein Vorfall überstanden, muss der geordnete Wiederanlauf der Produktion geplant werden. Dazu gehören Prüfschritte, um sicherzustellen, dass alle Sicherheitsvorkehrungen wieder intakt und alle Systeme funktionsfähig sind. Ein schrittweises Hochfahren unter Beobachtung minimiert das Risiko von Folgeschäden. Falls externe Abnahmen oder Genehmigungen (z.B. durch Bergaufsicht) nötig sind, sollten diese Prozesse beschleunigt werden (z.B. durch vorbereitete Dokumentation im Resilienzplan, die im Vorhinein Abstimmungen mit Behörden enthält).

Durch solche Vorkehrungen erreicht das Unternehmen eine hohe betriebliche Kontinuität (Business Continuity). Selbst wenn es zu Unterbrechungen kommt, können essentielle Funktionen weiterlaufen oder sehr schnell wiederhergestellt werden. Das KRITIS-Dachgesetz verlangt von Betreibern explizit, dass sie Maßnahmen ergreifen, um nach einem Vorfall zügig die kritische Dienstleistung wieder anbieten zu können. Ein vorab erstellter Resilienzplan dokumentiert all diese Vorkehrungen und verknüpft sie mit den identifizierten Risiken. Dieser Plan sollte regelmäßig überprüft und nach tatsächlichen Vorfällen unbedingt aktualisiert werden, um Lerneffekte aufzunehmen.

• Zuverlässigkeitsüberprüfungen: Für Personal in sicherheitskritischen Funktionen sollte das Unternehmen Background-Checks durchführen. Dazu zählen zum Beispiel Personen, die Zugang zu sensiblen Bereichen haben (Bergwerksleitung, Sprengmeister, IT-Administratoren, Sicherheitsmitarbeiter). Im Rahmen der gesetzlichen Möglichkeiten (u.a. Einverständnis der Betroffenen, Datenschutz) kann eine Überprüfung auf Vorstrafen, finanzielle Auffälligkeiten oder extremistische Verbindungen erfolgen. Gerade bei Neueinstellungen ist eine sorgfältige Personalauswahl wichtig. Gegebenenfalls kann auf externe Überprüfungsangebote wie eine einfache Sicherheitsüberprüfung zurückgegriffen werden. Dienstleister, die kritische Aufgaben übernehmen (z.B. Wachschutz durch Fremdfirmen, IT-Wartung, Fremdfirmen für Anlagenwartung), müssen ähnliche Kriterien erfüllen. Verträge mit Dienstleistern sollten Sicherheitsstandards und Verschwiegenheitspflichten festschreiben.

• Zugriffs- und Berechtigungsmanagement: Das Need-to-know-Prinzip wird angewandt – Mitarbeiter erhalten nur die Zugangsrechte und Informationen, die sie für ihre Aufgabe benötigen. Ein zentrales Berechtigungsmanagement (ggf. Identity & Access Management System) steuert den Zugang zu IT-Systemen und physischen Bereichen. Sobald Mitarbeiter das Unternehmen verlassen oder intern die Position wechseln, werden Berechtigungen sofort angepasst (Exit-Prozeduren). Externes Personal (Wartungsteams, Lieferanten) erhält nur zeitlich und örtlich begrenzte Zugänge, idealerweise unter Begleitung. Besucherausweise sind deutlich als solche gekennzeichnet und mit Ablaufdatum versehen. All dies reduziert die Gefahr, dass Unbefugte – ob absichtlich oder aus Versehen – kritische Bereiche kompromittieren.

• Awareness und Kultur: Eine Sicherheitskultur im Unternehmen wird gefördert, in der jeder Mitarbeiter – vom Vorstand bis zum Schichtarbeiter – Sicherheitsbewusstsein entwickelt. Das fängt beim Melden von ungewöhnlichen Beobachtungen an (jedes Auffälligkeit, etwa fremde Personen im Gelände ohne Ausweis, wird intern gemeldet und nachverfolgt) und geht bis zur verantwortungsvollen Nutzung von Informationen (keine sensiblen Diskussionen außerhalb, keine Passwörter aufschreiben, etc.). Mitarbeiter sollen wissen: Sicherheit hat Priorität vor anderen Belangen, und jeder trägt dazu bei. Dieses Mindset wird durch ständige Kommunikation und Vorleben von Seiten der Führung verstärkt. Führungskräfte müssen Sicherheitsthemen regelmäßig ansprechen und vorleben, sodass die Belegschaft sie ernst nimmt.

• Arbeitsschutz und physische Sicherheit des Personals: Zum Sicherheitsmanagement gehört auch, die körperliche Sicherheit der Mitarbeiter zu gewährleisten. In einer Bergbau-Umgebung gibt es hohe Arbeitsschutzanforderungen (Unfallverhütung, Umgang mit Maschinen, Sprengungen). Durch Schulungen und klare Betriebsanweisungen wird sichergestellt, dass Personal die Sicherheitsregeln einhält – dies schützt nicht nur die Menschen, sondern indirekt auch die Anlagen. Denn viele Störfälle entstehen durch menschliches Fehlverhalten oder Nachlässigkeit. Ein robustes Arbeitssicherheitsmanagement (ggf. nach ISO 45001) ergänzt somit das KRITIS-Schutzkonzept.

• Notfallvorsorge für Personal: In Krisenfällen muss es besondere Vorkehrungen für Mitarbeiter geben – etwa Pläne zur geordneten Evakuierung aus Gefahrenzonen, Sammelpunkte, Betreuung (psychologisch und medizinisch) nach schweren Zwischenfällen. Das Personalmanagement sollte Listen mit Notfallkontakten der Mitarbeiter führen, um Angehörige informieren zu können. Auch die Versorgung des Personals während langer Betriebsstörungen (z.B. Notquartiere, Verpflegung bei Schichtverlängerungen während eines Vorfalls) ist ein Thema der Resilienz.

All diese Maßnahmen stellen sicher, dass das Human Capital des Unternehmens sowohl geschützt ist als auch aktiv zur Sicherheit beiträgt. Das KRITIS-Dachgesetz betont die Wichtigkeit von Personalaspekten explizit – Schulungen und Sicherheitsüberprüfungen für Schlüsselpersonal sind vorgesehen. Ein vertrauenswürdiges, trainiertes Team kann viele Gefahren früh abwenden. Gleichzeitig verhindert man, dass durch Innentäter oder unachtsames Verhalten Sicherheitslücken entstehen.

• Grundlagentrainings: Jeder Mitarbeiter erhält regelmäßig (mindestens jährlich) eine Unterweisung zu Sicherheitsthemen. Dazu zählen z.B. Notfallprozeduren (Alarmplan, Evakuierungswege), Meldewege für Sicherheitsvorfälle, Grundlagen der IT-Sicherheit (Passworthygiene, Phishing-Erkennung) und spezifische Gefahren im Bergbauumfeld (etwa Sprengstoffsicherheit, Verhaltensregeln unter Tage bei Alarm). Neue Mitarbeiter werden im Onboarding umfassend mit den Sicherheitsrichtlinien vertraut gemacht. Diese Schulungen sollten praxisnah und einprägsam gestaltet sein, etwa durch kurze E-Learning-Module, Schaubilder an schwarzen Brettern und Sicherheitskurzbesprechungen zu Schichtbeginn. Ziel ist, dass Sicherheit jederzeit präsent ist und die Mitarbeiter wissen, was im Ernstfall zu tun ist.

• Rollenspezifische und erweiterte Schulungen: Für Schlüsselpersonal und Mitglieder von Notfallteams gibt es vertiefende Trainings. So muss z.B. ein Mitglied des Krisenstabs im Umgang mit Stress und Medien geschult werden; IT-Personal benötigt spezielle Kenntnisse in Incident Response; Sicherheitsingenieure halten sich über neueste Bedrohungen auf dem Laufenden. Auch Führungskräfte werden eigens geschult, um ihre besondere Verantwortung in Sicherheitsfragen wahrzunehmen. Das umfasst sowohl die Pflichten nach Gesetz (Management hat Implementierung und Überwachung der Maßnahmen sicherzustellen) als auch „Soft Skills“ wie Krisenkommunikation und Führungsverhalten in Notfällen. Externe Seminare, Zertifizierungen (z.B. BSI/ISO-Trainings) und Behördenübungen (z.B. LÜKEX – länderübergreifende Krisenübung) können einbezogen werden.

• Übungen und Planspiele: Neben theoretischen Schulungen sind praktische Übungen unentbehrlich. Das Unternehmen führt regelmäßige Notfallübungen durch, z.B. Evakuierungsdrills an jedem Standort (mindestens jährlich), Alarmierungs- und Kommunikationsübungen für den Krisenstab oder technische Ausfallübungen (Simulation: „IT-Ausfall – was tun?“). Realistische Planspiele helfen dem Führungsteam, Entscheidungen unter Zeitdruck zu proben. Auch bereichsübergreifende Übungen, gemeinsam mit externer Hilfe (Feuerwehrübungen auf dem Werksgelände, gemeinsame Krisenstab-Übung mit Behörden), erhöhen den Reifegrad. Jede Übung wird nachbesprochen, um Verbesserungspotential zu identifizieren. Mitarbeiter werden angehalten, Gefahrenmeldungen und nahezu-Unfälle (near misses) proaktiv zu melden – daraus lassen sich Lessons Learned ableiten, die in Trainings einfließen.

• Sensibilisierungskampagnen: Um das Thema lebendig zu halten, kann das Unternehmen interne Awareness-Kampagnen durchführen. Beispielsweise „Sicherheitswochen“, in denen täglich ein Aspekt besonders beleuchtet wird, Plakate zu aktuellen Bedrohungen (z.B. Social Engineering) oder kleine Security Newsletter. Solche Maßnahmen halten die Wachsamkeit hoch. Eine Kultur, in der Sicherheit regelmäßig thematisiert wird, sorgt dafür, dass sie nicht als lästige Pflichtübung, sondern als selbstverständlicher Teil der Arbeit gesehen wird.

• Dokumentation und Nachweis: Alle Schulungen und Übungen werden dokumentiert (wer hat wann an welcher Unterweisung teilgenommen, was waren die Inhalte). Dies dient nicht nur als Nachweis gegenüber Auditoren und Behörden, sondern ermöglicht auch, Schulungsbedarfe zu verfolgen (wer muss nachgeschult werden, welche Zertifikate laufen aus etc.). Gemäß KRITIS-DachG müssen Betreiber nämlich auch nachweisen, welche Maßnahmen sie ergriffen haben und dass Personal geschult wurde.

Insgesamt gewinnen laut Experten Schulung, Transparenz und Kommunikationsfähigkeit zunehmend an Bedeutung – nicht zuletzt gegenüber Entscheidern und Behörden. Eine gut informierte Belegschaft und ein transparenter Umgang mit Sicherheitsprozessen schaffen Verständnis und Akzeptanz, auch wenn Investitionen nötig sind. Die Schulungs- und Übungskomponente bildet somit das Bindeglied zwischen allen technischen und organisatorischen Maßnahmen: Sie sorgt dafür, dass im Ernstfall alle Rädchen ineinandergreifen. Nur durch regelmäßiges Üben kann die Organisation ihre Resilienz auf die Probe stellen und verbessern.

Die Umsetzung dieses umfassenden Sicherheits- und Resilienzkonzepts erfordert hohe Investitionen, Planung und kontinuierliche Verbesserung. Erste Schätzungen – etwa ~570.000 € für Perimeterschutzmaßnahmen an einem Werk – zeigen, dass erhebliche finanzielle Mittel einzusetzen sind. Das Management des Unternehmens muss diese Aufwände als notwendige Investition in die Zukunftssicherheit betrachten. Angesichts der Einstufung als kritisches bzw. wichtiges Unternehmen werden diese Maßnahmen nicht nur gesetzlich gefordert, sondern sind auch im eigenen Interesse: Sie schützen die Mitarbeiter, die Anlagen und die Geschäftstätigkeit vor existenzgefährdenden Zwischenfällen.

Organisatorisch empfiehlt es sich, ein Sicherheits- und Resilienzprogramm aufzusetzen, das alle Maßnahmen koordiniert. Hierbei kann ein Stufenplan sinnvoll sein: Zunächst werden Lücken durch eine Soll-Ist-Analyse identifiziert (z.B. mittels Schwachstellenanalyse, wie sie auch spezialisierte Dienstleister anbieten). Dann Priorisierung der kritischsten Maßnahmen (z.B. sofortige Verbesserung des Zaunschutzes an einem besonders exponierten Standort, Entwicklung eines Resilienzplans innerhalb von 6 Monaten, etc.). Quick Wins (wie die Schulung des Personals in grundlegenden Sicherheitsregeln) können sofort umgesetzt werden, während größere Bauprojekte oder Systeme (z.B. neues kameragestütztes Leitstellen-System) parallel geplant werden. Wichtig ist ferner die Integration bestehender Managementsysteme: Viele Unternehmen haben bereits Arbeits- und Umweltschutzmanagement, Qualitätsmanagement oder IT-Sicherheitsmanagement (ISO 27001). Diese sollten mit dem neuen Resilienz-Framework verzahnt werden, um Doppelarbeit zu vermeiden und eine einheitliche Governance zu schaffen. Beispielsweise kann ein bestehendes Notfallmanagement nach ISO 22301 (Business Continuity) als Fundament dienen und um die physischen Szenarien ergänzt werden.

Das vorgestellte Fachkonzept orientiert sich an Habilitationsniveau, d.h. es betrachtet interdisziplinär alle Ebenen – technisch, organisatorisch, rechtlich und personell – die für die Resilienz des Bergbauunternehmens relevant sind. Es basiert auf aktuellen gesetzlichen Vorgaben und Best Practices der Kritischen-Infrastruktur-Sicherheit. Die deutsche Bundesregierung betont, dass Betreiber umfassende Sicherheitsmaßnahmen gegen Naturkatastrophen, Sabotage und andere Bedrohungen implementieren müssen, um die Versorgungssicherheit zu gewährleisten. Das hier dargestellte Konzept erfüllt diese Anforderungen: Durch Vorfallprävention, robusten physischen Schutz, eingespieltes Krisenmanagement, Sicherstellung der Betriebsfortführung, Fokussierung auf Personalaspekte und fortlaufende Schulung entsteht ein resilientes Gesamtsystem.

Abschließend bleibt festzuhalten, dass Resilienz ein dynamischer Prozess ist. Bedrohungslagen ändern sich (man denke an neue hybride Gefahren, politische Konflikte, Pandemien, Cyberangriffe) – entsprechend muss das Unternehmen sein Sicherheitskonzept laufend überprüfen und anpassen. Mit dem beschriebenen Fachkonzept und der Umsetzung der Maßnahmen nach KRITIS-Dachgesetz §13(3) legt das Unternehmen jedoch ein belastbares Fundament, um auch in Zukunft sicher und resilient agieren zu können. Die Sicherheit der Kritischen Infrastruktur Bergbau wird so zu einem integralen Bestandteil der Unternehmenskultur, im Einklang mit den Zielen der nationalen Sicherheitsstrategie: “Der Schutz Kritischer Infrastrukturen ... ist von entscheidender Bedeutung für die Sicherheit unseres Lebens und unserer Freiheit.”

Ein konzernangehöriges Bergbau-Industrieunternehmen, das voraussichtlich als „wichtiges Unternehmen“ im Sinne des KRITIS-Dachgesetzes eingestuft wird, plant Investitionen in physische Resilienzmaßnahmen (z. B. Perimeterschutz, Zugangskontrollen, Detektionstechnik, Notstromversorgung). Da der Gesetzgeber höhere Resilienz fordert, erwarten Wirtschaftsverbände, dass Bund und Länder ausreichende finanzielle Unterstützung für derartige Schutzmaßnahmen bereitstellenbdew.de. Eine Recherche zeigt jedoch, dass es kein spezielles Bundesprogramm exklusiv für Resilienz gibt – stattdessen müssen bestehende Förderprogramme aus Bereichen wie Digitalisierung, Technologie, Klimaschutz oder Wirtschaftsförderung genutzt werdengfa-news.de. Im Folgenden wird eine systematische Übersicht über relevante Bundes- und Landesfördermittel gegeben, einschließlich Förderart (Zuschuss/Kredit), Förderquote, förderfähige Kosten, Kumulierungsmöglichkeiten, Verfahren (Rechtsanspruch oder Wettbewerbsverfahren) sowie realistische Zuteilungschancen. Praktische Hinweise zu Antragstellung, Fristen und Ansprechpartnern werden ebenfalls benannt.

Bund und EU bieten verschiedene Programme, die für Resilienz-Investitionen genutzt werden können. Tabelle 1 gibt einen Überblick über relevante Programme auf Bundes- und EU-Ebene. Dabei werden zinsgünstige Förderkredite (z. B. KfW-Programme) und direkte Zuschüsse bzw. Wettbewerbsaufrufe (EU-Programme) dargestellt. Hinweis: Es existiert kein Rechtsanspruch auf Zuschüsse; diese werden i. d. R. nach verfügbaren Mitteln und Auswahlkriterien vergeben. KfW-Kredite sind hingegen bei Erfüllung der Bedingungen in der Regel erhältlich (Bonität vorausgesetzt). Kumulierung von Krediten und Zuschüssen ist möglich, solange beihilferechtliche Höchstgrenzen nicht überschritten werden (z. B. gelten KfW-Zinsverbilligungen als De‑minimis-Beihilfe und können mit Investitionszuschüssen kombiniert werden).