ISO 27001 Asset Management: Schutzbedarf von Werten ermitteln

ISO 27001 Asset Management

ISO 27001 Asset Management: Assets, auch oft als „Werte“ oder „Vermögenswerte“ bezeichnet, sind sämtliche Ressourcen, die für ein Unternehmen von Bedeutung sind. Im Kontext der ISO 27001 bezieht sich der Begriff nicht allein auf physische Gegenstände wie Computer oder Server, sondern auch auf immaterielle Güter wie Daten, Software, Patente und sogar das Know-how der Mitarbeiter. Im Kern geht es bei den Assets darum, was für das Unternehmen besonders schützens- und erhaltenswert ist, da ein Verlust oder Missbrauch dieser Werte gravierende Folgen haben kann.

PDFs zur ISO 27001

Der Weg zur ISO 27001

Ihre Sicherheitslösung für die digitale Zukunft

Checkliste zur Selbsteinschätzung ISO 27001 ISO 27002

Vollumfängliche Checkliste zur aktuellen ISO 27001:2022

Klimawandel im Kontext der Organisation

Checkliste zur Zertifizierung ISO 27001

Checkliste zum erfolgreichen Risikomanagement ISO 27001

Checkliste zum Notfallmanagement ISO 27001 und TISAX

Wofür werden Assets gebraucht?

In einem Managementsystem für Informationssicherheit gemäß ISO 27001 ist die Identifizierung und Bewertung von Assets ein zentrales Element. Assets werden benötigt, um den Schutzbedarf des Unternehmens gezielt zu bestimmen. Nur wenn bekannt ist, welche Ressourcen vorhanden sind und wie kritisch sie für die Organisation sind, können effektiv angemessene Sicherheitsmaßnahmen geplant und umgesetzt werden. Darüber hinaus ermöglichen klar definierte Assets ein strukturiertes Risikomanagement: Risiken lassen sich nur bewerten, wenn klar ist, welche Werte bedroht werden und was deren Verlust für Auswirkungen hätte.

Wie identifiziere und klassifiziere ich Assets?

Der erste Schritt ist meist eine Bestandsaufnahme aller Ressourcen. Dabei sollten Unternehmen nicht nur an Hardware wie Laptops, Server oder Drucker denken, sondern auch an Datenbanken, Software-Systeme, Verträge, geistiges Eigentum und sogar die Reputation des Unternehmens. Anschließend erfolgt die Klassifizierung. Diese richtet sich nach Kriterien wie Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Trias). Beispielsweise können manche Daten hoch vertraulich (z. B. Kundendaten) und andere weniger kritisch (z. B. öffentlich zugängliche Informationen) sein. Indem man jeder Ressource eine angemessene Schutzstufe zuweist, wird die Grundlage für ein Priorisierungskonzept geschaffen.

Wie werden Assets in der Praxis genutzt?

Sobald Unternehmen ihre Assets identifiziert und klassifiziert haben, erfolgt eine Risikoanalyse. Diese bewertet, wie stark verschiedene Bedrohungen (z. B. Cyberangriffe, physische Schäden, Systemausfälle) die definierten Werte gefährden. Darauf basierend lassen sich Maßnahmen ableiten, die die Wahrscheinlichkeit eines Vorfalls reduzieren oder dessen Auswirkungen minimieren sollen. Beispiele sind Firewalls, Zugriffs- und Berechtigungskonzepte, Notfallpläne oder Schulungen der Mitarbeiter.

Verbindung zwischen Asset Management und Risikomanagement

Risikobasierter Ansatz
ISO 27001 basiert auf einer Risikoanalyse. Verdeutliche, dass Assets im Mittelpunkt des Risikomanagements stehen und dass es ohne eine klare Asset-Übersicht schwer wird, Bedrohungen und Schwachstellen gezielt zu identifizieren.
Risikoakzeptanz und -behandlung
Beschreibe, dass Unternehmen entscheiden müssen, welche Risiken sie akzeptieren, reduzieren, vermeiden oder teilen (z. B. durch Versicherungen) – jeweils in Abhängigkeit der Assets.

Rollen und Verantwortlichkeiten

Asset Owner
Erkläre genauer, wer die Verantwortung für ein Asset trägt. Häufig ist dies nicht zwangsläufig die IT-Abteilung, sondern der Fachbereich, der das Asset nutzt oder erzeugt.
Informationssicherheitsbeauftragter
Wie koordiniert diese Rolle die Maßnahmen über verschiedene Assets hinweg?
Management-Ebene
Welche Verantwortung trägt das Top-Management bei der Entscheidungsfindung für Assets, Budget-Zuweisungen und dem Festlegen von Sicherheitszielen?

Rechtliche und regulatorische Anforderungen

Datenschutz (DSGVO)
Manche Assets enthalten personenbezogene Daten (abgekürzt: pbD). Erkläre, wie das Asset Management hier zu Compliance beitragen kann.
Vertrags- und Lizenzmanagement
Insbesondere bei Software-Assets ist das Einhalten von Lizenzbestimmungen essenziell.
Branchenstandards: Möglicherweise gelten in bestimmten Branchen (z. B. Finanzwesen, Gesundheitswesen) weitere gesetzliche Vorgaben, die im Asset-Management berücksichtigt werden müssen.
Annex A der ISO 27001
Bezug zu den Controls: Zeige den direkten Zusammenhang zwischen bestimmten Controls aus Anhang A und dem Asset Management (beispielsweise Controls zu Asset Management, Zugriffskontrolle, Kryptografie, physische Sicherheit).
Kontinuierliches Monitoring
Wie erfüllen Unternehmen die Controls, die auf Überwachung und Protokollierung von Assets abzielen?

Hinweis: Controls übersetzt aus den englischen bedeutet „Maßnahme„. Es handelt sich bei den 93 Controls der ISO/IEC 27001:2022 um 93 Maßnahmen und keine „Kontrollen„.

Zukünftige Entwicklungen und Trends

Cloud-Dienste
Welche neuen Herausforderungen entstehen beim Asset Management durch Cloud-Services, virtuelle Maschinen oder Container-Technologien?
IoT (Internet of Things)
In vielen Branchen steigt die Anzahl an vernetzten Geräten. Wie fließen diese in das Asset-Management ein?
Automatisierung und KI
Inwieweit können KI-basierte Lösungen dabei helfen, Anomalien und Bedrohungen in Echtzeit zu erkennen und den Schutz der Assets zu verbessern?

Auszug Vermögenswerte-Inventarliste

Asset ID	A-001	A-002	A-003
Asset-Name/-Beschreibung	Server „HR-Daten“	Vertragsdokumente	CRM-Software
Asset-Typ	IT-System (Server)	Dokumente (physisch)	Software/Lizenz
Owner/Verantwortlicher	IT-Leiter / HR-Abteilung	Rechtsabteilung	Vertriebsleitung
Klassifizierung	Vertraulich	Intern	Intern
Standort	Rechenzentrum A	Archivraum B	Cloud-Anbieter
Kritikalität	Hoch (Personaldaten)	Mittel (Rechtliche Relevanz)	Hoch (Kundendaten)
Lebenszyklus	Anschaffung 2020, Austausch geplant 2025	Archivierung: 10 Jahre, dann Vernichtung	Lizenz jährlich erneuern
Bemerkungen	Backup täglich	Lizenz jährlich erneuern	Zugriff via VPN

ISO 27001 Asset Management: Schutzbedarf von Werten ermitteln.csv

Beschreibung Tabelle

Asset-ID
Eindeutige Kennzeichnung, damit jedes Asset im System schnell auffindbar ist.
Asset-Name/-Beschreibung
Klare Bezeichnung, was das Asset ist bzw. worum es sich genau handelt.
Asset-Typ
Kategorie des Assets, z. B. IT-System, Software, Dokument, Gebäude, Personal etc.
Owner/Verantwortlicher
Person oder Abteilung, die für das Asset verantwortlich ist (Pflege, Schutz, Aktualisierung).
Klassifizierung
Nach ISO 27001 sollten Assets entsprechend ihrer Vertraulichkeit, Integrität und Verfügbarkeit eingestuft werden.
Standort
Wo wird das Asset physisch oder digital aufbewahrt? (Rechenzentrum, Cloud, Büro etc.)
Kritikalität
Bewertung des Risikos oder der Auswirkung auf das Unternehmen, falls dieses Asset kompromittiert, verloren oder beschädigt würde.
Lebenszyklus
Informationen zu Beschaffung, Einsatzdauer und Entsorgung oder Archivierung.
Bemerkungen
Freies Feld für zusätzliche Hinweise wie besondere Schutzmaßnahmen oder relevante Prozesse (z. B. Backup-Intervalle, SLAs mit Dienstleistern).

Assets Management

Assets identifizieren, klassifizieren und zu verwalten

Geltungsbereich definieren
Ziel: Legen Sie fest, welcher Teil Ihres Unternehmens oder welche Prozesse von Ihrem Informationssicherheits-Managementsystem (ISMS) abgedeckt werden.
Warum wichtig? Dadurch grenzen Sie klar ein, welche Assets Sie überhaupt berücksichtigen müssen.
Asset-Erfassung vorbereiten
Rollen & Verantwortlichkeiten festlegen: Bestimmen Sie, wer für die Identifizierung, Bewertung und Überwachung von Assets verantwortlich ist (z. B. ein Asset-Manager).
Vorlagen erstellen: Nutzen Sie Checklisten oder Tabellen, in denen Sie alle potenziell relevanten Assets eintragen können (z. B. Hardware, Software, Daten, Dokumente, Dienstleister-Verträge, etc.).
Assets systematisch identifizieren
Bestandsaufnahme: Gehen Sie Abteilungen, Systeme und Prozesse durch und listen Sie alle relevanten Assets auf.
Kategorien bilden: Unterteilen Sie Assets in sinnvolle Gruppen (z. B. IT-Hardware, Software-Lizenzen, Datenbanken, physische Dokumente, immaterielle Werte wie Know-how).
Stakeholder einbinden: Führen Sie Interviews oder Workshops mit den Fachabteilungen durch, um keine Assets zu übersehen.
Assets klassifizieren
Kriterien festlegen: Typischerweise wird nach Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Trias) unterschieden.
Prioritäten definieren: Ordnen Sie jedem Asset die erforderliche Schutzklasse zu (z. B. niedrig, mittel, hoch).
Dokumentation: Halten Sie Klassifizierungsergebnisse schriftlich fest – sie bilden die Grundlage für alle weiteren Schutzmaßnahmen.
Wert und Kritikalität bewerten
Geschäftsauswirkungen: Überlegen Sie, welche finanziellen, rechtlichen oder reputationsbezogenen Schäden drohen, wenn ein Asset kompromittiert wird.
Risikoanalyse: Ziehen Sie Bedrohungen (z. B. Cyberangriffe, Naturkatastrophen) und Schwachstellen (z. B. fehlende Updates, unklare Zuständigkeiten) heran, um das Gesamtrisiko zu bewerten.
Maßnahmen ableiten: Erstellen Sie eine Rangfolge der Risiken und definieren Sie entsprechende Sicherheitsvorkehrungen (z. B. Verschlüsselung, Backup, Schulungen).
Schutzmaßnahmen umsetzen
Technische Maßnahmen: Installieren bzw. konfigurieren Sie Firewalls, Anti-Malware-Lösungen, Zugriffs- und Berechtigungskonzepte.
Organisatorische Maßnahmen: Erstellen Sie Richtlinien, rollenbasierte Zugriffsmodelle, schulen Sie Mitarbeiter und etablieren Sie Prozesse für regelmäßige Sicherheitsüberprüfungen.
Physische Maßnahmen: Sorgen Sie für Zutrittskontrollen, Alarmanlagen oder sichere Aufbewahrungsorte für sensible Dokumente.
Dokumentation & Nachverfolgung
Asset-Inventar aktuell halten: Pflegen Sie eine zentrale Dokumentation (z. B. in einem Asset-Register), die regelmäßig angepasst wird.
Prüf- und Kontrollmechanismen: Richten Sie Audits oder Revisionen ein, um sicherzustellen, dass alle Assets korrekt erfasst und klassifiziert sind.
Kontinuierliche Verbesserung (PDCA-Zyklus)
Plan – Do – Check – Act: Nutzen Sie das PDCA-Modell, um Ihr Asset-Management ständig zu verbessern.
Regelmäßige Reviews: Überarbeiten Sie Ihre Asset-Listen, Risikoanalysen und Maßnahmen mindestens einmal im Jahr oder bei wesentlichen Änderungen im Unternehmen.
Dokumentiertes Lernen: Erfassen Sie alle Vorfälle (z. B. Sicherheitsverletzungen) und leiten Sie daraus Verbesserungspotenziale ab.

Mit dieser Anleitung erhalten Sie einen strukturierten Ansatz, um Ihre Unternehmenswerte nach ISO 27001 zu erfassen, zu bewerten und effektiv zu schützen. Ein regelmäßig gepflegtes und überprüftes Asset Management ist dabei der Schlüssel, um Ihr Informationssicherheits-Managementsystem auf dem neuesten Stand zu halten und kontinuierlich zu optimieren.

Fazit: Erfolgreiches ISO 27001 Asset Management

Ein effektives ISO 27001 Asset Management bildet das Fundament eines Informationssicherheits-Managementsystems nach ISO 27001. Ein sorgfältig dokumentiertes und kontinuierlich überwachtes Asset Management ermöglicht es, Risiken frühzeitig zu erkennen, adäquate Sicherheitsmaßnahmen zu treffen und im Ernstfall gezielt zu reagieren.

So trägt das systematische Vorgehen bei der Identifizierung und Klassifizierung von Assets entscheidend zur Sicherung des Unternehmenswerts bei – und steigert nebenbei das Vertrauen von Kunden, Geschäftspartnern und Aufsichtsbehörden. Durch regelmäßige Reviews und Aktualisierungen der Asset-Liste wird zudem sichergestellt, dass das Sicherheitsniveau kontinuierlich verbessert und auf dem aktuellen Stand gehalten wird.

FAQ zu Assets im Kontext der ISO 27001

Was sind Assets im Sinne der ISO 27001?

Assets sind alle Ressourcen, die für ein Unternehmen einen Wert darstellen und daher geschützt werden müssen. Dazu gehören sowohl materielle Güter wie Computer, Server oder Gebäude als auch immaterielle Werte wie Daten, Software, Urheberrechte, Prozesse, Patente, Kundendatenbanken und das Know-how der Mitarbeiter.

Warum sind Assets so wichtig für die ISO 27001?

In der ISO 27001 ist das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Dabei ist es entscheidend zu wissen, welche Werte (Assets) überhaupt geschützt werden sollen. Nur wenn klar ist, was für das Unternehmen wichtig und schützenswert ist, können die passenden Maßnahmen definiert und umgesetzt werden.

Wie findet man alle relevanten Assets im Unternehmen?

Ein bewährter Ansatz ist, zunächst den Geltungsbereich (Scope) des Informationssicherheits-Managementsystems (ISMS) festzulegen. Im nächsten Schritt führen Sie eine strukturierte Bestandsaufnahme durch. Dies kann durch Interviews, Workshops mit verschiedenen Abteilungen oder mithilfe bestehender Inventarlisten erfolgen. Wichtig ist, auch immaterielle Werte wie Verträge oder geistiges Eigentum zu erfassen.

Welche Rolle spielt die Klassifizierung von Assets?

Die Klassifizierung ermöglicht es, die Assets nach ihrer Kritikalität bzw. Sensibilität zu priorisieren. Häufig wird nach Vertraulichkeit, Integrität und Verfügbarkeit unterschieden (CIA-Trias). So wird zum Beispiel ein Dokument mit vertraulichen Kundendaten anders eingestuft als öffentlich zugängliche Marketinginformationen.

Wie bewertet man das Risiko für Assets?

Im Rahmen der Risikoanalyse werden Bedrohungen und Schwachstellen in Bezug auf jedes Asset betrachtet. Anschließend wird ermittelt, wie hoch die Wahrscheinlichkeit eines Vorfalls ist und welche Auswirkungen dieser haben könnte. Aus dieser Bewertung ergibt sich das Gesamtrisiko, das durch geeignete Maßnahmen reduziert werden kann.

Was passiert, wenn Assets nicht richtig geschützt sind?

Werden Assets unzureichend geschützt, kann es zu Sicherheitsvorfällen kommen – beispielsweise Datenverlust, Reputationsschäden oder Produktionsausfällen. Zudem können rechtliche Konsequenzen drohen, wenn etwa Datenschutzvorgaben oder vertragliche Pflichten verletzt werden.

Wie oft sollte die Asset-Liste aktualisiert werden?

Regelmäßige Aktualisierungen sind unerlässlich, da sich die Unternehmenslandschaft ständig ändert. Neue Software, weitere Geschäftsstandorte oder organisatorische Umstrukturierungen können zu neuen Assets führen. Mindestens einmal jährlich sollte eine offizielle Überprüfung stattfinden, bei Bedarf auch öfter.

Was sind typische Maßnahmen zum Schutz von Assets?

Technische Maßnahmen: Firewalls, Verschlüsselung, Zugriffsrechte, regelmäßige Backups, Sicherheitsupdates.
Organisatorische Maßnahmen: Richtlinien, Schulungen, Rollen- und Rechtekonzepte, Notfallpläne.
Physische Maßnahmen: Zutrittskontrollen, Kameraüberwachung, Schließsysteme, Brandschutz.

Wer ist für das Asset Management verantwortlich?

In vielen Unternehmen wird ein Asset-Manager oder eine entsprechende Abteilung benannt. Letztendlich trägt jedoch die Geschäftsführung die Gesamtverantwortung. In einem ISMS-Team sind zudem verschiedene Rollen wie IT-Security-Verantwortliche, Datenschutzbeauftragte oder Fachabteilungsleiter eingebunden.

Wie trägt ein strukturiertes Asset Management zum Erfolg der ISO 27001 bei?

Ein gut aufgebautes Asset Management bietet Transparenz über alle schützenswerten Werte. So können Maßnahmen gezielter ausgewählt und Ressourcen effizient eingesetzt werden. Dies erleichtert sowohl interne Audits als auch externe Zertifizierungen nach ISO 27001 und fördert insgesamt die Informationssicherheit sowie das Vertrauen von Kunden und Partnern.