Zum Hauptinhalt springen
Informationssicherheit / NIS2

Asset-Management

Asset-Management bezeichnet die systematische Erfassung, Klassifizierung und Pflege aller Informationswerte einer Organisation und bildet damit die Grundlage eines funktionierenden Informationssicherheits-Managementsystems (ISMS).

Asset-Management im Sinne der Informationssicherheit umfasst die vollständige Inventarisierung sämtlicher Informationswerte (Assets) einer Organisation. Dazu zählen nicht nur Hardware und Software, sondern auch Daten, Anwendungen, Cloud-Dienste, Netzwerkkomponenten, Informationen in Papierform sowie unterstützende Werte wie Personal, Standorte und Lieferantenbeziehungen. Ohne ein belastbares Verzeichnis dieser Werte lassen sich Schutzbedarf, Risiken und Verantwortlichkeiten nicht zuverlässig bestimmen, weshalb das Asset-Management als Fundament jedes ISMS gilt.

Über die reine Erfassung hinaus verlangt ein wirksames Asset-Management die Klassifizierung der Werte nach ihrem Schutzbedarf hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit sowie die eindeutige Zuordnung von Eigentümern (Asset Owner). Diese Verantwortlichen entscheiden über zulässige Nutzung, erforderliche Schutzmaßnahmen und den gesamten Lebenszyklus eines Werts von der Beschaffung über den Betrieb bis zur sicheren Außerbetriebnahme und Entsorgung. Erst die Verbindung aus Inventar, Klassifizierung und Verantwortlichkeit ermöglicht eine risikoorientierte Steuerung der Informationssicherheit.

Normativ ist das Asset-Management fest in den gängigen Sicherheitsstandards verankert. Die ISO/IEC 27001 fordert in Annex A (Controls 5.9 bis 5.11 der Fassung 2022) ein Inventar der Informationswerte, Regeln zur akzeptablen Nutzung sowie die Rückgabe von Werten. Auch der BSI IT-Grundschutz, CISIS12 und die unter der NIS2-Richtlinie geforderten Risikomanagementmaßnahmen setzen ein aktuelles Asset-Verzeichnis voraus, weil Schutzbedarfsfeststellung, Risikobewertung und der Nachweis der Wirksamkeit von Maßnahmen ohne vollständige Kenntnis der zu schützenden Werte nicht möglich sind.

Rechtliche Grundlage

ISO/IEC 27001:2022 Annex A (Controls 5.9–5.11); BSI IT-Grundschutz; Art. 21 NIS2-Richtlinie (EU) 2022/2555

Praxisbeispiel

Ein Informationssicherheitsbeauftragter eines mittelständischen Maschinenbauers führt vor dem Erstaudit nach ISO/IEC 27001 eine Inventarisierung durch und stellt fest, dass mehrere produktive Cloud-Dienste von Fachabteilungen ohne IT-Freigabe beschafft wurden (Schatten-IT). Er erfasst diese Dienste im Asset-Verzeichnis, weist jedem Wert einen Eigentümer zu und klassifiziert die enthaltenen Konstruktionsdaten als „hoch vertraulich". Auf dieser Basis lassen sich der Schutzbedarf bestimmen, fehlende Verschlüsselung nachrüsten und die Maßnahmen gegenüber dem Auditor belegen.

Häufige Fragen

Zu den Assets zählen alle für die Organisation schützenswerten Werte: Hardware, Software und Cloud-Dienste, Daten und Anwendungen, Netzwerk- und Infrastrukturkomponenten sowie Informationen in Papierform. Auch unterstützende Werte wie Personal, Standorte und Lieferantenbeziehungen werden berücksichtigt.
Nur wer seine Werte vollständig kennt, kann deren Schutzbedarf feststellen, Risiken bewerten und Schutzmaßnahmen wirksam steuern. Ein lückenhaftes Inventar führt unweigerlich zu blinden Flecken bei der Risikobewertung. Deshalb steht das Asset-Management am Anfang jedes funktionierenden ISMS.
Der Asset Owner ist die für einen Informationswert verantwortliche Person. Sie legt die zulässige Nutzung fest, verantwortet die angemessene Klassifizierung und Schutzmaßnahmen und steuert den Wert über seinen gesamten Lebenszyklus bis zur sicheren Außerbetriebnahme.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

ISMS (Informationssicherheits-Managementsystem) ISO 27001 Schutzbedarfsfeststellung Informationsklassifizierung Risikobewertung (Risk Assessment)
Zurück zum Glossar