In meinem Blog gibt es Sachinformationen, Meinung und Handlungsempfehlungen
Am Samstag, den 27.09.2025 gab es auf dem Münchner Oktoberfest einen Zwischenfall, der dafür sorgte, dass der Begriff „Sicherheitskonzept“ in Fernsehen, Rundfunk und Presse immer wieder präsent war. Es war die Rede vom fehlenden, vom unzureichenden, aber auch vom vorhandenen und funktionierenden Sicherheitskonzept. Da haben wir Münchens Oberbürgermeister Dieter Reiter, den Referenten für Arbeit und Wirtschaft der Stadt München Christian Scharpf und zahlreiche Moderatoren der öffentlich-rechtlichen und privaten Sendeanstalten im Nachgang von einem Sicherheitskonzept sprechen gehört.
In den Tagen nach dem Zwischenfall hatte ich oft den Eindruck, dass der Begriff „Sicherheitskonzept“ weder in der Verantwortlichkeit, seiner Wichtigkeit, noch in der Stoßrichtung von den Verantwortlichen für die Durchführung aber auch von den Verantwortlichen in der Medienkommunikation wirklich verstanden oder auch richtig kommuniziert wurde und wird. In diesen Tagen war das Wort Sicherheitskonzept eine Art Füllwort. Ein Füllwort für Verantwortlichkeit, Prävention und Reaktion, mögliche Auswirkung aber auch halbscharige Rechtfertigung gegenüber der Besucher. Und weil es ein Füllwort war, hinterließ es Fragezeichen bei den häufig anonym gebliebenen Betroffenen.
Nochmal kurz zur Klarstellung. Ich bin mir sicher, dass bei den Veranwortlichen des Münchner Oktoberfestes das Bewusstsein für die Wichtigkeit eines vollständigen Sicherheitskonzepts und eines Notfallplans vorhanden ist und diese die entsprechenden Prioritäten in der Umsetzung genießen. Das hier Geschriebene ist nur meine bescheidene Meinung über das was am Samstag auf der Münchner Theresienwiese passiert ist. Auch war ich nicht dabei, doch möchte ich mit meiner Fachexpertise dazu beitragen, den Begriff „Sicherheitskonzept“ zu verdeutlichen und ihn der Allgemeinheit etwas zugänglicher machen.
Doch bevor wir uns gleich um den Begriff Sicherheitskonzept kümmern, fassen wir den Begriff doch noch etwas größer und rufen uns in Erinnerung, was es neben einem Sicherheitskonzept sonst noch so gibt. Da wird z. B. vor dem Bau eines Flughafens ein Umweltkonzept erstellt, ein Verkehrskonzept und im Falles des Flughafens BER das oft strapazierte Brandschutzkonzept. Ein Konzept ist also immer die Beschreibung eines gewünschten Soll-Zustandes, der Begegnung und Auseinandersetzung mit seinen Variablen – also der Behandlung der möglichen Zustände und Situationen, die naturgemäß in der Zukunft liegen.
Hier in diesem Blogbeitrag geht es um das Verständnis wo ein Sicherheitskonzept anfängt, welche Form es hat, was es beinhaltet und an welche Stakeholder es addressiert ist, also wie der Begriff Sicherheitskonzept definiert und abgegrenzt ist, wann es aufhört und der Notfallplan startet.
Ein Sicherheitskonzept hat grundsätzlich einen präventiven Charakter, und das unterscheidet ein Sicherheitskonzept von einem Notfallplan. Während das Sicherheitskonzept verschiedene für das Vorhaben individuelle Gefahren berücksichtigt und Maßnahmen vorsieht diese Gefahren abzuwehren, tritt ein Notfallplan dann ein, wenn diese Maßnahmen versagt haben.
Ein Sicherheitskonzept ist der Entwurf, die pragmatische Sammlung der für die Institution oder das Projekt bestehenden Gefahren, deren Bewertung und in Folge das Installieren und Überprüfen technischer und organisatorischer Maßnahmen durch verschiedene Personen, Abteilungen oder Dienstleister, um die Gefahr nicht zur Bedrohung werden zu lassen. Es geht es also nicht darum, möglichst viel Polizei und Security auf dem Gelände zu wissen, damit erstmal alle Besucher beruhigt sein sollten. Es geht aber auch nicht darum im Falle eines Zwischenfalls die Präsenz von Polizei und Security zu erhöhen und das Abspielen von Durchsagen als Alibi für ein vorhandenes Sicherheitskonzept zu nennen. Es geht um die Verhinderung im Vorfeld, dass ein Zwischenfall überhaupt erst auftritt – eben um die Prävention. Ja, zugegeben, das ließt sich etwas abstrakt, doch gehen wir in die Praxis – in die Praxis eines Konzepts:
In der Natur eines Konzepts liegt es, dass das Konzept bereits vor dem eigentlichen Event, Prozess oder Vorgang fertig eingetütet ist.
Fertig heisst, dass sämtliche Gefährdungen und die daraus entstehenden Risiken, mögliche und notwendige Handlungsoptionen und die für die Risikobehandlung notwendigen Ressourcen benannt sind. Wenn ein Konzept in seiner finalen Fassung freigegeben ist, in dem oben genannten Fall wäre es Herr OB Dieter Reiter, müssen dann die in dem Konzept benannten Ressourcen auch freigegeben werden, bereit stehen, informiert werden und sein, und – mit der kleinstmöglichen Vorwarnzeit – handeln können, also die im Konzept benannten Maßnahmen umsetzen.
Fertig heisst, dass die Risiken mit ihren finanziellen Auswirkungen auf den Geschäftsbetrieb und weiterer Stakeholder klar benannt sind.
Und fertig heisst zuletzt auch, dass die Risiken für Rechte und Freiheiten natürlicher Personen – und sei es, das neben einer Kameraüberwachung oder des Monitorings der Netzauslastung – Themen wie die körperliche Unversehrheit auf den Tisch kommen. Ja, das ist nicht immer angenehm und wird häufig abgewiegelt mit dem Argument, das schon nichts passieren würde und was das kosten würde, und es sei bisher schließlich auch nichts passiert. Im Falles des Oktoberfests ist das – bis auf das Ereignis von 1980 – auch richtig.
Aber es ist der elementare Teil eines Sicherheitskonzepts – die Exposition des Risikos und die Risikobehandlung!
Auch das ließt sich wieder etwas abstrakt, aber schauen wir zurück in die Geschichte – nehmen wir diesen 26. September 1980. Es war der Worst Case einer Veranstaltung. Niemand dachte auch nur im Traum daran. Doch sind es – bei allem Respekt und Trauer der Verstorbenen und Hinterbliebenen gegenüber – Ereignisse, von denen wir heute lernen können, ja sogar lernen müssen.
Es sind die Gefährdungen, die die Gestaltung, die universelle Einsetzbarkeit aber auch die Praxistauglichkeit und somit die Umsetzbarkeit eines Sicherheitskonzepts ausmachen. Gefährdungen, die das BSI in seiner Auflistung der 47 Gefährdungen für Datenschutz und Informationssicherheit als Quelle und Checkliste für die initiale Erstellung eines Sicherheitskonzeptes formuliert hat. Zumindest in der Datenschutzberatung und Beratung für Informationssicherheit ist die Identifizierung einer Gefährdung ein ganz essentielles Werkzeug. Eine Auswahl aus den 47 Gefährdungen, abgestimmt auf das Ereignis, erlaubt ein präzises Herunterbrechen auf mögliche Szenarien und dann in Folge das Abstellen auf die Risikobehandlungsoptionen und das Ergreifen der notwendigen technischen und organisatorischen Maßnahmen.
Die technischen und organisatorischen Maßnahmen sind das wichtigste operative Kapitel in einem Sicherheitskonzept. Sie beschreiben die Risikobehandlung und sind – richtig formuliert – auch Teil des Notfallplans.
Die Zusammenfassung am Ende des Sicherheitskonzept ist eine prägnante Schilderung des Zieles und der für die Erreichung des Zieles notwendigen Aufwendungen. Das ist für den Autor nicht immer einfach, da es Forderungen in viele Richtungen formuliert und leider – das habe ich schon oft erlebt – das Konzept in der Schublade verschwinden lässt. Dabei ist das Sicherheitskonzept ein wichtiges Arbeitspapier für das Event, für die Institution, den Relaunch einer App oder das Projekt. Es ist das Handwerkszeug des Projektleiters, des Datenschutzkoordinators und des Managers für Informationssicherheit.
…und am Ende ist es das Dokument, das die Reputation und Glaubwürdigkeit der Verantwortlichen wahrt.
P.S.: Out of Scope ist hier der Notfallplan, eine RACI-Übersicht und weitere flankierende Themen um das große Mysterium: Sicherheitskonzept.