ISO 27001: Asset-Inventar richtig erstellen

Stellen Sie sich vor, Sie sollen ein wertvolles Haus schützen. Würden Sie damit beginnen, Alarmanlagen zu installieren, ohne zu wissen, wo die Türen, Fenster oder wertvollsten Gegenstände sind? Wahrscheinlich nicht. Genau dieses Prinzip gilt auch für die Informationssicherheit. Sie können nicht schützen, was Sie nicht kennen.

‍

Die Inventarisierung von Informationswerten, oft als „Asset-Inventar“ bezeichnet, ist das Fundament eines jeden Informationssicherheits-Managementsystems (ISMS) nach ISO 27001. Es ist der erste, entscheidende Schritt, um zu verstehen, welche Werte Ihr Unternehmen besitzt, wo sie sich befinden und warum sie schützenswert sind.

‍

Doch viele Unternehmen tun sich genau hier schwer. Der Prozess wirkt oft überwältigend und abstrakt. Dieser Leitfaden entmystifiziert die Asset-Inventarisierung und gibt Ihnen eine klare, praxisnahe Anleitung an die Hand, mit der Sie diese grundlegende Aufgabe meistern.

‍

Was genau ist ein Asset? Die Grundlage verstehen

‍

Im Kontext der ISO 27001 ist ein „Asset“ (oder „Informationswert“) viel mehr als nur Laptops und Server. Die Norm definiert ein Asset als alles, was für eine Organisation einen Wert hat. Das ist eine bewusst breite Definition, denn die größten Risiken lauern oft nicht in der Hardware.

‍

Ein häufiger Fehler ist die ausschließliche Konzentration auf technische Geräte. Wertvolles Wissen in den Köpfen von Mitarbeitern, kritische Lieferantenverträge oder das Vertrauen Ihrer Kunden sind ebenso wichtige Assets, die geschützt werden müssen.

‍

Um Klarheit zu schaffen, lassen sich Assets in verschiedene Kategorien einteilen:

‍

• Hardware: Physische Geräte wie Server, Laptops, Netzwerkkomponenten und Mobiltelefone.
• Software: Betriebssysteme, Standardanwendungen (z. B. Office 365), Spezialsoftware (z. B. CRM-Systeme) und selbst entwickelte Applikationen.
• Informationen/Daten: Die Kronjuwelen Ihres Unternehmens. Dazu gehören Kundendatenbanken, geistiges Eigentum, Finanzdaten, Quellcode und strategische Pläne.
• Mitarbeiter: Das Wissen, die Fähigkeiten und die Erfahrung Ihrer Mitarbeiter sind oft unersetzlich.
• Dienstleistungen: Kritische externe und interne Services, wie Cloud-Hosting (AWS, Azure), Internetanbindung oder die Stromversorgung.
• Immaterielle Werte: Dinge, die schwer zu fassen, aber existenziell sind, wie der Ruf Ihres Unternehmens, das Kundenvertrauen oder Lizenzen.

‍

‍

Ihr Schritt-für-Schritt-Leitfaden zur Asset-Erfassung

‍

Ein systematisches Vorgehen ist der Schlüssel zum Erfolg. Die folgende Methode hat sich in der Praxis bewährt und führt Sie sicher durch den Prozess.

‍

‍

Schritt 1: Geltungsbereich festlegen

‍

Bevor Sie beginnen, definieren Sie klar die Grenzen Ihres ISMS. Sollen alle Geschäftsbereiche, nur bestimmte Standorte oder nur eine kritische Dienstleistung abgedeckt werden? Diese Entscheidung bestimmt den Umfang Ihrer Inventarisierung.

‍

Schritt 2: Das richtige Team zusammenstellen

‍

Die Asset-Erfassung ist keine reine IT-Aufgabe. Sie benötigen ein interdisziplinäres Team, um eine 360-Grad-Sicht zu gewährleisten. Holen Sie Vertreter aus folgenden Bereichen an Bord:

‍

• IT/Technik: Für Hardware, Software und Netzwerkinfrastruktur.
• Personal (HR): Für Prozesse rund um Mitarbeiterdaten und -wissen.
• Recht/Compliance: Für Verträge, Lizenzen und rechtliche Verpflichtungen.
• Fachabteilungen (z. B. Vertrieb, Marketing): Um abteilungsspezifische Prozesse und Daten zu identifizieren.

‍

Schritt 3: Die richtigen Erfassungsmethoden wählen

‍

Verlassen Sie sich nicht auf eine einzige Methode. Eine Kombination aus verschiedenen Ansätzen liefert die vollständigsten Ergebnisse:

‍

1. Top-Down-Ansatz (Interviews): Führen Sie strukturierte Interviews mit den Abteilungsleitern. Fragen Sie nicht: „Welche Assets haben Sie?“, sondern: „Welche Prozesse sind für Ihre Abteilung kritisch? Welche Informationen, Systeme und Personen benötigen Sie, um diese Prozesse auszuführen?“
   ‍
   • Beispielfrage: „Wenn Sie morgen früh ins Büro kämen und ein System wäre ausgefallen – welches würde Ihre Arbeit am stärksten behindern?“
     ‍
2. Bottom-Up-Ansatz (Technische Scans): Nutzen Sie automatisierte Werkzeuge wie Netzwerk-Scanner oder Software-Inventarisierungstools, um alle Geräte und Anwendungen im Netzwerk zu entdecken. Dies ist besonders effektiv für die Erfassung von Hardware und Software.
   ‍
3. Dokumentenanalyse: Werten Sie vorhandene Unterlagen aus. Dazu gehören:
   ‍
   • Anlagenbuchhaltung: Hier finden Sie alle gekauften Hardware- und Softwarelizenzen.
   • Verträge: Dienstleister- und Lieferantenverträge enthüllen Abhängigkeiten von externen Services.
   • Prozessdokumentationen: Bestehende Beschreibungen von Geschäftsprozessen sind eine Goldgrube für die Identifikation relevanter Informationen.

‍

Schritt 4: Alles in einem Asset-Register dokumentieren

‍

Die gesammelten Informationen müssen an einem zentralen Ort strukturiert werden: dem Asset-Register. Eine einfache Tabelle ist der erste Schritt, aber spezialisierte Tools bieten oft mehr Übersicht und Automatisierung. Jedes Asset sollte mindestens folgende Informationen enthalten:

‍

• Eindeutige ID: Eine einzigartige Kennung (z. B. HW-001 für einen Server).
• Asset-Name: Eine klare, verständliche Bezeichnung (z. B. „Kunden-CRM-Datenbank“).
• Asset-Beschreibung: Was ist es und wofür wird es verwendet?
• Asset-Typ: Die Kategorie (Hardware, Software, Daten etc.).
• Standort: Wo befindet sich das Asset (physisch oder virtuell)?
• Asset-Eigentümer (Owner): Wer ist für das Asset verantwortlich? (Mehr dazu in Schritt 5).

‍

Praxis-Tipp: Beginnen Sie mit einer soliden Grundlage. Unser Leitfaden mit Vorlage für Ihr Asset Register hilft Ihnen dabei, alle wichtigen Informationen strukturiert zu erfassen.

‍

Schritt 5: Für jedes Asset einen Eigentümer zuweisen

‍

Ein Asset ohne Eigentümer ist ein verwaistes Asset. Der „Asset Owner“ ist nicht notwendigerweise der Nutzer, sondern die Person, die für den Schutz, die Wartung und die ordnungsgemäße Nutzung des Assets verantwortlich ist. Dies ist in der Regel eine Führungskraft aus dem jeweiligen Fachbereich. Der Eigentümer trifft Entscheidungen über Zugriffsrechte und ist die erste Anlaufstelle bei Sicherheitsvorfällen.

‍

⚠️ Häufiger Fehler: Die IT-Abteilung wird pauschal als Eigentümer für alle technischen Assets eingetragen. Das ist falsch. Der Eigentümer sollte die Person sein, die den geschäftlichen Wert des Assets am besten beurteilen kann. Der Leiter der Vertriebsabteilung ist der Eigentümer der CRM-Daten, nicht der IT-Administrator.

‍

Schritt 6: Assets klassifizieren und bewerten

‍

Nicht alle Assets sind gleich wichtig. Eine Klassifizierung hilft Ihnen, Ihre Schutzmaßnahmen zu priorisieren. Bewerten Sie jedes Asset anhand der drei Schutzziele der Informationssicherheit:

‍

• Vertraulichkeit (Confidentiality): Welchen Schaden würde es verursachen, wenn diese Information in die falschen Hände gerät?
  ‍
• Integrität (Integrity): Welchen Schaden würde es verursachen, wenn diese Information unbemerkt verändert wird?
  ‍
• Verfügbarkeit (Availability): Welchen Schaden würde es verursachen, wenn Sie nicht auf dieses Asset zugreifen können?

‍

Eine einfache Skala (z. B. 1 = niedrig, 2 = mittel, 3 = hoch) für jedes Schutzziel hilft dabei, die Kritikalität eines Assets schnell zu erfassen.

‍

Die Verbindung schaffen: Vom Inventar zur Risikoanalyse

‍

Das Asset-Register ist kein Selbstzweck. Es ist die unverzichtbare Grundlage für den wichtigsten Teil Ihres ISMS: die Risikoanalyse. Ohne eine vollständige Liste Ihrer Werte können Sie die darauf lauernden Bedrohungen nicht systematisch bewerten.

‍

Der Prozess sieht vereinfacht so aus:

‍

1. Asset identifizieren: Sie nehmen ein Asset aus Ihrem Register (z. B. „A-025: Kundendatenbank“).
2. Bedrohungen analysieren: Sie überlegen, was diesem Asset zustoßen könnte (z. B. Ransomware-Angriff, Datenleck durch Mitarbeiter, Hardware-Ausfall).
3. Schwachstellen finden: Sie prüfen, wo Ihr Schutz lückenhaft ist (z. B. fehlende Backups, ungeschulte Mitarbeiter, veraltete Software).
4. Risiko bewerten: Aus der Kombination von Asset-Wert, Bedrohung und Schwachstelle ergibt sich ein konkretes Risiko, das Sie bewerten und behandeln müssen.

‍

Dieser systematische Ansatz ist das Kernstück des ISO 27001 Risikomanagements und wird auch in anderen Regularien wie der NIS2-Richtlinie für die Risikoanalyse gefordert.

‍

‍

Das Inventar als lebendiges Dokument: Die Arbeit hört nie auf

‍

Der vielleicht größte Fehler bei der Inventarisierung ist die Annahme, es handle sich um ein einmaliges Projekt. Ein Unternehmen ist ein dynamischer Organismus: Mitarbeiter kommen und gehen, neue Software wird eingeführt, alte Systeme werden abgeschaltet.

‍

Ihr Asset-Register muss diese Veränderungen widerspiegeln, sonst veraltet es und verliert seinen Wert. Etablieren Sie feste Prozesse, um das Inventar aktuell zu halten:

‍

• Onboarding/Offboarding: Integrieren Sie die Asset-Verwaltung in die Einstellungs- und Austrittsprozesse.
• Beschaffung: Jede neue Hard- oder Software muss sofort im Register erfasst werden.
• Regelmäßige Überprüfung: Planen Sie viertel- oder halbjährliche Reviews mit den Asset-Eigentümern, um die Aktualität zu bestätigen.

‍

Moderne ISMS-Plattformen können diesen Prozess erheblich vereinfachen, indem sie sich mit anderen Systemen verbinden und die Asset-Erfassung und -Pflege automatisieren. Dies reduziert den manuellen Aufwand und stellt sicher, dass Ihr Fundament für die Informationssicherheit stets stabil bleibt.

‍

Reicht eine einfache Excel-Tabelle für das Asset-Register aus?

‍

Für sehr kleine Unternehmen kann eine Excel-Liste ein guter Startpunkt sein. Sobald die Anzahl der Assets wächst und die Verknüpfungen zur Risikoanalyse und den Maßnahmen komplexer werden, stoßen Tabellen schnell an ihre Grenzen. Eine dedizierte Plattform für die ISO 27001 Implementierung bietet hier deutlich mehr Kontrolle, Übersicht und Automatisierung.

‍

Der Aufbau eines umfassenden Asset-Inventars ist keine triviale Aufgabe, aber der Aufwand lohnt sich. Es ist die Landkarte, die Ihnen den Weg zu echter, nachhaltiger Informationssicherheit weist. Nehmen Sie sich die Zeit, diesen ersten Schritt richtig zu machen – Ihr gesamtes Sicherheitsprogramm wird darauf aufbauen.

‍

FAQ: Häufig gestellte Fragen zur Asset-Inventarisierung

‍

Was ist der Unterschied zwischen einem Asset und einem Informationswert?

‍

Im Kontext von ISO 27001 werden die Begriffe oft synonym verwendet. „Informationswert“ betont, dass der Wert nicht im physischen Gegenstand, sondern in der Information liegt, die er trägt, verarbeitet oder bereitstellt.

‍

Wer sollte der „Asset Owner“ sein?

‍

Der Asset Owner sollte eine Person in einer Managementposition sein, die die geschäftliche Verantwortung für das Asset trägt. Es ist die Person, die den Wert des Assets für das Unternehmen am besten versteht und Entscheidungen über dessen Verwendung und Schutz treffen kann.

‍

Wie detailliert muss meine Asset-Liste sein?

‍

Sie sollte so detailliert sein, dass sie eine sinnvolle Risikoanalyse ermöglicht. Anstatt „100 Laptops“ als ein Asset aufzuführen, ist es besser, sie zu gruppieren (z. B. „Vertriebs-Laptops“, „Entwickler-Laptops“), da die darauf gespeicherten Daten und die damit verbundenen Risiken unterschiedlich sind.

‍

Was sind die häufigsten Fehler bei der Inventarisierung?

‍

Die drei häufigsten Fehler sind:

‍

1. Unvollständigkeit: Nur IT-Assets werden berücksichtigt, während nicht-technische Werte wie Prozesse, Mitarbeiterwissen und Reputation vergessen werden.
   ‍
2. Einmalige Erstellung: Das Register wird erstellt und dann nie wieder aktualisiert, wodurch es schnell wertlos wird.
   ‍
3. Unklare Eigentümerschaft: Es wird kein verantwortlicher Asset Owner zugewiesen, sodass niemand für den Schutz des Assets verantwortlich ist.

‍