ISO 27001:2022 – Vertiefung Asset Management

Ein wirksames Asset Management ist das Rückgrat jedes Informationssicherheits Managementsystems. Die ISO 27001:2022 betont, dass alle relevanten Informationswerte von Hardware und Software bis zu Daten, Lizenzen und Cloud Diensten identifiziert, bewertet und geschützt werden müssen. Eine strukturierte Übersicht ist die Grundlage für Risikobewertung, Kontrollen und Nachweise im Audit.

In der ISO 27001 gelten alle Werte als Asset, die für Betrieb, Informationsverarbeitung oder Sicherheit wichtig sind. Dazu zählen physische Werte wie Server, Laptops oder Zutrittssysteme, digitale Werte wie Datenbanken, Anwendungen, Lizenzen und Backups, immaterielle Werte wie Markenrechte, Know how, Verträge und Prozesse sowie externe Ressourcen wie Cloud Dienste oder Dienstleister. Jedes Asset kann Quelle eines Risikos sein, zum Beispiel durch Verlust, Ausfall oder Missbrauch.

Informationswerte werden nicht nur einmalig erfasst, sondern über ihren gesamten Lebenszyklus hinweg betrachtet. Typische Phasen sind: Beschaffung und Erfassung im Asset Register, Nutzung und Betrieb mit Zuweisung von Verantwortlichen und Überwachung, Änderungen und Wartung etwa bei Updates, Standortwechseln oder Anpassung von Zugriffsrechten sowie Ausmusterung und Entsorgung mit sicherer Löschung, Rückgabe oder Archivierung. Ziel ist, dass kein Asset unkontrolliert und ohne Verantwortung im System verbleibt.

Ziel des Lebenszyklusansatzes:

Jeder Informationswert erhält eine eindeutige Zuordnung, wird überwacht und bei Veränderungen aktualisiert, damit Risiken, Verantwortlichkeiten und Nachweise jederzeit aktuell sind.

Das Asset Register dient als zentraler Einstieg in das Asset Management. Für jedes Asset werden Attribute wie Name, Kategorie, Eigentümer, Speicherort, Verarbeiter, Schutzbedarf, Beziehungen zu anderen Objekten und gegebenenfalls Wiederherstellungsanforderungen dokumentiert. Das Register unterstützt Risikoanalyse, Maßnahmenplanung und Auditnachweise.

Typische Registerinhalte:

Asset Name und Kategorie, Owner und Verantwortlichkeiten, Speicherort und Verarbeiter, Schutzbedarf und Abhängigkeiten, Wiederherstellungsanforderungen und Versionierung, Verknüpfung zu Risiken, Kontrollen und Nachweisen.

Um angemessene Sicherheitsmaßnahmen abzuleiten, werden Assets anhand von Vertraulichkeit, Integrität und Verfügbarkeit bewertet. Vertraulichkeit beschreibt, wie kritisch ein unbefugter Zugriff wäre, Integrität die Bedeutung unveränderter und korrekter Information und Verfügbarkeit die Folgen eines Ausfalls. Aus diesen Faktoren wird der Schutzbedarf zum Beispiel niedrig, mittel oder hoch abgeleitet und dient als Basis für Auswahl und Priorisierung von Kontrollen.

Ableitung von Maßnahmen:

Je höher der Schutzbedarf, desto stärker müssen Zugriffssteuerung, Protokollierung, Verschlüsselung, Backup und Wiederherstellung sowie organisatorische Kontrollen ausgeprägt sein. Damit wird Asset Management zur zentralen Grundlage für Risikobehandlung und Auditfähigkeit.

Die Asset Liste ist ein lebendes Dokument und wird laufend ergänzt, sobald neue Systeme, Daten oder Lieferanten hinzukommen. Empfohlen wird eine regelmäßige Überprüfung, mindestens jährlich oder nach relevanten Änderungen in der IT oder Prozesslandschaft.

Neue Systeme oder Software nach Einführung eintragen, Abgänge wie Entsorgung oder Lizenzende dokumentieren, Zuständigkeiten bei Personalwechsel prüfen, Klassifizierungen bei Änderungen neu bewerten und die Verknüpfung mit dem Risikomanagement regelmäßig überprüfen.

Das Asset Register bildet die Grundlage für Risikoanalysen, Notfallplanung und Schutzmaßnahmen. Durch die Integration in ein zentrales System, zum Beispiel Wiki.js oder eine strukturierte Excel Übersicht, werden Änderungen nachvollziehbar.

Besonders für kleinere Unternehmen bietet sich ein einfacher Start an: zunächst die wichtigsten IT und Daten Assets erfassen und die Liste schrittweise erweitern.

Ein wirksames Asset Management ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Nur wer seine Informationswerte kennt, kann sie angemessen schützen. Die ISO 27001:2022 verlangt kein perfektes System von Beginn an, sondern ein strukturiertes, nachvollziehbares Vorgehen mit klaren Verantwortlichkeiten und laufender Verbesserung.

Ein Asset ist mehr als nur eine Inventarnummer. Jedes Gerät, jede Software und jede Information spiegelt ein Stück der Organisation wider. Wer seine Werte nicht kennt, kann sie nicht schützen und riskiert Ausfälle, Datenverluste oder Reputationsschäden. Asset Management ist daher nicht nur eine formale Forderung der ISO 27001, sondern das Gedächtnis des Unternehmens.

Ein gut gepflegtes Register macht Informationssicherheit greifbar: Es zeigt, was wirklich wichtig ist, welche Systeme kritisch sind und wo Investitionen in Sicherheit den größten Effekt haben.

Start in der IT Abteilung mit Servern, Netzwerken, Notebooks und Cloud Diensten, dann organisatorische Assets wie Verträge, Papierakten, Schlüssel und Zutrittskontrollen ergänzen. Verantwortliche für Nutzung und Verwaltung festlegen, Schutzbedarf bewerten und die Liste nach Änderungen oder mindestens jährlich überprüfen.

Auch kleine Betriebe können ohne großen Aufwand ein normkonformes Asset Management aufbauen. Eine einfache Excel oder Wiki.js Liste genügt für den Einstieg.

Wichtig sind regelmäßige Prüfungen, zum Beispiel einmal pro Jahr oder bei neuen Systemen, benannte Asset Owner pro Bereich, sowie die Verknüpfung kritischer Assets mit den entsprechenden Risiken und eine dokumentierte Entsorgung alter Systeme und Datenträger.

Ein funktionierendes Asset Management wächst mit der Reife des Informationssicherheits Managementsystems und muss nicht von Anfang an perfekt sein. Entscheidend ist ein strukturierter, nachvollziehbarer Einstieg. Mit überschaubarem Aufwand entsteht so ein stabiles Fundament für spätere Zertifizierung oder Audit Vorbereitung.