ISMS Asset-Inventar: Werte erfassen nach ISO 27001

Ein Asset-Inventar ist das vollständige Verzeichnis aller Werte, die Ihr Informationssicherheits-Managementsystem schützen soll: Informationen, Systeme, Hardware, Software und die Menschen, die damit arbeiten. Es ist nach ISO 27001 nicht optional, sondern die Grundlage, auf der die gesamte Risikobetrachtung der Informationssicherheit aufbaut.

Der Grundsatz dahinter ist simpel: Was nicht erfasst ist, kann nicht geschützt werden. Ein lückenhaftes Inventar führt zu blinden Flecken in der Risikoanalyse und zu Abweichungen im Audit. Dieser Beitrag zeigt, welche Werte ins Inventar gehören, wie Sie sie klassifizieren und wie aus dem Verzeichnis eine belastbare Risikobasis wird.

Warum ist ein Asset-Inventar Pflicht?

Das Asset-Inventar ist nach ISO 27001 Annex A 5.9 verbindlich: Die Norm verlangt ein Verzeichnis der Informationen und der damit verbundenen Werte, inklusive benannter Eigentümer. Ohne dieses Verzeichnis fehlt die Grundlage für jede strukturierte Risikobewertung.

Im Audit ist das Asset-Inventar einer der ersten Prüfpunkte. Auditoren kontrollieren nicht nur, ob ein Verzeichnis existiert, sondern ob es vollständig, aktuell und mit Eigentümern hinterlegt ist. Ein veraltetes Inventar, das die reale IT-Landschaft nicht abbildet, gilt als Abweichung. Welche Werte überhaupt in den Geltungsbereich fallen, klärt vorab die Definition des ISMS-Scope.

Welche Asset-Typen gibt es und wie klassifiziert man sie?

Assets lassen sich in zwei Gruppen einteilen: primäre Werte und unterstützende Werte. Primäre Werte sind die Informationen und Geschäftsprozesse selbst. Unterstützende Werte sind alles, was diese Informationen trägt oder verarbeitet.

Jedes Asset wird anschließend klassifiziert. ISO 27001 Annex A 5.12 verlangt eine Klassifizierung von Informationen nach Schutzbedarf, üblicherweise entlang der drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Eine einfache Skala wie öffentlich, intern, vertraulich und streng vertraulich reicht für die meisten Organisationen aus. Wichtig ist, dass die Klassifizierung konsistent angewendet und über die Kennzeichnung nach Annex A 5.13 sichtbar gemacht wird.

Die Klassifizierung ist kein Selbstzweck. Sie steuert, wie streng ein Asset behandelt wird: welche Zugriffsrechte gelten, wie es übertragen werden darf und wie es am Ende seines Lebenszyklus gelöscht wird. Annex A 5.10 ergänzt dazu Regeln für die akzeptable Nutzung. Wer die Klassifizierung sauber aufsetzt, legt die Grundlage für einen Großteil der späteren Schutzmaßnahmen.

Wie bauen Sie ein Asset-Inventar auf?

Der Aufbau läuft in vier Schritten, von der Erhebung bis zur laufenden Pflege. Wer strukturiert vorgeht, vermeidet das häufigste Problem: ein Inventar, das einmal erstellt und danach nie wieder aktualisiert wird.

Primäre Werte (Informationen, Prozesse) und unterstützende Werte (Software, Hardware, Personal, Standorte).

Eine häufige Falle ist die Doppelerfassung: Dasselbe Asset taucht unter leicht abweichenden Namen mehrfach auf, weil verschiedene Abteilungen es unabhängig melden. Eine einheitliche Namenskonvention und ein zentral gepflegtes Verzeichnis verhindern das. Ebenso wichtig ist es, Schatten-IT aktiv aufzuspüren, also Cloud-Dienste und Tools, die ohne Freigabe im Einsatz sind und sonst nie ins Inventar gelangen.

Was ist die Rolle des Asset Owners?

Jedes Asset braucht einen benannten Owner. Der Asset Owner ist nicht zwingend der technische Administrator, sondern die Person, die für den Schutz des Werts über seinen gesamten Lebenszyklus verantwortlich ist. Annex A 5.9 fordert diese Zuordnung ausdrücklich.

Eine saubere Trennung lohnt sich: Der Asset Owner verantwortet den Wert, der Risk Owner verantwortet das daraus resultierende Risiko. Beide Rollen können zusammenfallen, müssen es aber nicht. In der Praxis, die wir bei SECJUR begleiten, scheitern Inventare seltener an der Technik als an unklaren Zuständigkeiten. Die Owner-Rolle gehört deshalb zu Fachverantwortlichen, die den Wert eines Assets fürs Geschäft einschätzen können, nicht pauschal in die IT-Abteilung.

"Das Asset-Inventar ist der Realitätscheck des ISMS. Wer seine eigenen Werte nicht vollständig benennen kann, baut jede Risikoanalyse auf Sand. Die eigentliche Arbeit steckt nicht im einmaligen Erfassen, sondern darin, das Verzeichnis dauerhaft aktuell zu halten."

Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR

Wie führt das Inventar zur Risikoanalyse?

Das Asset-Inventar ist kein Selbstzweck, sondern die Eingangsgröße der Risikoanalyse. Jedes erfasste Asset mit seinem Schutzbedarf wird zum Ausgangspunkt, um Bedrohungen und Schwachstellen zu bewerten.

Der Schutzbedarf je Asset steuert direkt Tiefe und Priorität der Risikobewertung.

Praktisch heißt das: Das Inventar liefert die Liste der zu betrachtenden Objekte, die Klassifizierung priorisiert sie. Hoch klassifizierte Assets werden zuerst und am gründlichsten analysiert, niedrig klassifizierte mit angemessen geringerem Aufwand. So wird die Risikoanalyse fokussiert statt uferlos.

Deshalb gilt: Die Qualität der Risikoanalyse kann nie besser sein als die Qualität des Inventars. Wie aus dem klassifizierten Inventar eine vollständige Risikobewertung und -behandlung wird, behandeln wir im Beitrag zum ISO-27001-Risikomanagement. Das Inventar liefert das Was, die Risikoanalyse das Wie gefährdet und das Was tun.

Wie unterstützt SECJUR bei der Asset-Erfassung?

Ein Asset-Inventar manuell in einer Tabelle zu pflegen ist machbar, aber fehleranfällig und schnell veraltet. Genau hier setzt eine Plattform an, die Erfassung, Klassifizierung und Owner-Zuordnung an einem Ort hält und mit der Risikoanalyse verknüpft.

Das zahlt sich vor allem bei der Aktualität aus: Wenn Inventar, Owner und Risiken im selben System liegen, bleibt das Verzeichnis automatisch synchron, statt nach drei Monaten zu veralten. Für Unternehmen auf dem Weg zur Zertifizierung ist das der Unterschied zwischen einem auditfesten und einem theoretischen Inventar.