ISO 27001:2022 – Vertiefung Asset Management & Lebenszyklus von Informationswerten
Ein effektives Asset Management ist das Rückgrat jedes Informationssicherheits-Managementsystems (ISMS). Die Norm ISO 27001:2022 betont, dass alle relevanten Informationswerte – von Hardware und Software bis zu Daten, Lizenzen und Cloud-Diensten – identifiziert, bewertet und geschützt werden müssen. Dieser Artikel erklärt die Grundprinzipien verständlich und praxisorientiert – mit Blick auf typische Unternehmenssituationen.
Was versteht man unter einem „Asset“?
In der ISO 27001 werden „Assets“ als alle Werte definiert, die für den Betrieb, die Informationsverarbeitung oder die Sicherheit des Unternehmens von Bedeutung sind. Dazu gehören:
- Physische Werte – Geräte, Server, Laptops, Zutrittssysteme
- Digitale Werte – Datenbanken, Software, Lizenzen, Backups
- Immaterielle Werte – Markenrechte, Know-how, Verträge, Prozesse
- Dienstleister & Cloud-Ressourcen – z. B. Microsoft 365, AWS, externe IT-Partner
Jedes Asset stellt ein potenzielles Risiko dar – etwa durch Ausfall, Verlust oder Missbrauch. Daher ist eine strukturierte Übersicht unabdingbar.
Lebenszyklus eines Assets
Ein häufig unterschätzter Aspekt der ISO 27001 ist der Lebenszyklusgedanke. Informationswerte werden nicht nur erfasst, sondern über ihren gesamten Lebensweg hinweg überwacht:
- Beschaffung & Erfassung – Dokumentation im Asset-Register
- Nutzung & Betrieb – Zuweisung an Verantwortliche, laufende Überwachung
- Änderungen & Wartung – Software-Updates, Standortwechsel, Zugriffsrechte
- Ausmusterung & Entsorgung – sichere Löschung, Rückgabe, Archivierung
Das Ziel: Kein Asset bleibt unkontrolliert oder ohne klaren Verantwortlichen im System bestehen.
Klassifizierung & Schutzbedarf
Damit ein Unternehmen die richtigen Sicherheitsmaßnahmen ableiten kann, müssen Assets klassifiziert werden – meist anhand der CIA-Triade:
- Vertraulichkeit – Wie kritisch wäre ein Datenleck?
- Integrität – Wie wichtig ist die Unversehrtheit der Information?
- Verfügbarkeit – Welche Folgen hätte ein Ausfall?
Auf Basis dieser Bewertung wird jedes Asset einem Schutzbedarf (z. B. niedrig / mittel / hoch) zugeordnet.
Verantwortlichkeiten – RACI-Matrix
Eine klare Zuordnung der Verantwortlichkeiten verhindert Unklarheiten bei Pflege und Kontrolle. Folgende Matrix zeigt ein Beispiel für typische Rollen im Unternehmen:
| Aufgabe / Prozess | ISB | QMB | IT-Admin | GF |
|---|---|---|---|---|
| Asset-Register führen & aktualisieren | R | C | A | I |
| Klassifizierung & Schutzbedarf festlegen | R | I | C | A |
| Technische Sicherheit & Backup | C | I | R | I |
| Prüfung im internen Audit | R | A | C | I |
| Freigabe / strategische Entscheidungen | I | C | I | A |
Legende: R = Responsible | A = Accountable | C = Consulted | I = Informed
Pflege & Aktualisierung
Die Asset-Liste ist ein lebendes Dokument und wird laufend ergänzt, sobald neue Systeme, Daten oder Lieferanten hinzukommen. Empfohlen wird eine regelmäßige Überprüfung – mindestens jährlich oder nach relevanten Änderungen.
Checkliste für die Pflege des Asset-Registers
- Neue Systeme oder Software nach Einführung eintragen
- Abgänge (z. B. Entsorgung, Lizenzende) dokumentieren
- Zuständigkeiten bei Personalwechsel prüfen
- Klassifizierungen bei Änderungen neu bewerten
- Verknüpfung mit Risikomanagement regelmäßig überprüfen
Praxis-Tipp: Integration in Ihr ISMS
Das Asset-Register bildet die Grundlage für Risikoanalysen, Notfallplanung und Schutzmaßnahmen. Durch die Integration in ein zentrales System – z. B. Wiki.js oder Excel-basierte Übersicht – kann jede Änderung nachvollzogen werden. Besonders bei kleineren Unternehmen empfiehlt sich ein einfacher Start: Erfassen Sie zunächst die wichtigsten IT- und Daten-Assets und erweitern Sie die Liste schrittweise.
Fazit
Ein wirksames Asset Management ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Nur wer seine Informationswerte kennt, kann sie auch angemessen schützen. Die ISO 27001:2022 fordert kein perfektes System von Beginn an – wohl aber ein strukturiertes, nachvollziehbares Vorgehen mit klaren Verantwortlichkeiten und laufender Verbesserung.
Asset-Liste nach ISO 27001:2022
| Asset-ID | Beschreibung | Typ | Kategorie | Owner | Stellv. | Abteilung/Prozess | Standort/System | Lieferant/Dienstleister | Vertrag/SLA (J/N) | PB-Daten (J/N) | Datenkategorien | Rechtsgrundlage | C | I | A | Kritikalität | Backup | Intervall | RTO (h) | RPO (h) | Patch-Status | Letzte Änderung | Lebenszyklus | Anschaffung | Ausmusterung | Risiko-ID | Maßnahmen (Annex A) | Bemerkungen |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IT-001 | Fileserver PROD | physisch | Server | IT-Admin | ISB | IT-Betrieb | RZ 1 / Rack B | Dell / RZ XY | J | J | Kundendaten, Verträge | Art. 6 (1)(b) DSGVO | hoch | hoch | hoch | hoch | J | täglich | 4 | 24 | aktuell | 2025-10-01 | in Betrieb | 2023-03-15 | R-2025-014 | A.5.30, A.5.12 | Monitoring; 2FA | |
| SW-014 | CRM Cloud (SaaS) | Dienstleistung | Cloud/SaaS | Vertrieb | QMB | Sales | Cloud (EU) | Acme CRM GmbH | J | J | Kundendaten | Art. 6 (1)(f) DSGVO | mittel | hoch | mittel | mittel | J | wöchentlich (Export) | 8 | 24 | Anbieter-managed | 2025-09-10 | in Betrieb | 2024-07-01 | R-2025-031 | A.5.19, A.5.21 | AV/TOM geprüft; SSO |
Legende (Auszug):
– Typ: physisch / digital / Dienstleistung (SaaS)
– CIA: C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit (niedrig/mittel/hoch)
– RTO/RPO: Zielwerte Wiederanlaufzeit / max. Datenverlust (h)
– Annex A: Controls der ISO/IEC 27001:2022 (z. B. A.5.30 Backup, A.5.12 Change)
Warum Asset-Management mehr ist als eine Liste
Ein Asset ist mehr als nur eine Inventarnummer. Jedes Gerät, jede Software und jede Information spiegelt ein Stück der Organisation wider. Wer seine Werte nicht kennt, kann sie nicht schützen – und riskiert Ausfälle, Datenverluste oder Reputationsschäden. Das Asset-Management ist daher nicht nur eine formale Forderung der ISO 27001, sondern das Gedächtnis des Unternehmens.
Ein gut gepflegtes Register macht Informationssicherheit greifbar: Es zeigt, was wirklich wichtig ist, welche Systeme kritisch sind und wo Investitionen in Sicherheit den größten Effekt haben.
Typische Fehler im Umgang mit Assets
Viele Unternehmen unterschätzen die Bedeutung des Asset-Registers. Diese Fehler treten besonders häufig auf – und lassen sich mit einfachen Routinen vermeiden:
| Häufiger Fehler | Beispiel / Folge |
|---|---|
| Keine klaren Verantwortlichkeiten | Niemand fühlt sich zuständig für Updates, Backups oder Änderungen. |
| Veraltete oder unvollständige Liste | Assets sind längst ausgemustert, werden aber weitergeführt. |
| Nur IT-Assets werden betrachtet | Verträge, Papierarchive oder Zutrittssysteme bleiben unberücksichtigt. |
| Kein Abgleich mit Einkauf oder HR | Neue Geräte oder Software werden beschafft, aber nie im Register erfasst. |
| Keine Verbindung zum Risikomanagement | Assets sind gelistet, aber Schutzbedarf und Maßnahmen fehlen. |
Tipp: Regelmäßige Reviews (z. B. halbjährlich) und eine Freigabe durch den Informationssicherheitsbeauftragten verhindern diese Schwachstellen langfristig.
Schritt-für-Schritt zur ersten Asset-Liste
- Start in der IT-Abteilung: Erfassen Sie Server, Netzwerke, Notebooks, Cloud-Dienste.
- Organisatorische Assets ergänzen: Verträge, Papierakten, Schlüssel, Zutrittskontrollen.
- Verantwortliche festlegen: Wer nutzt oder verwaltet das Asset? Wer ist Stellvertreter?
- Schutzbedarf bewerten: Welche Auswirkung hätte Verlust oder Manipulation?
- Pflege und Aktualisierung: Nach Änderungen oder mindestens einmal jährlich überprüfen.
Diese einfache Struktur ist ein bewährter Einstieg in ein funktionierendes Asset-Management. Die Komplexität wächst erst mit der Reife des ISMS – nicht am ersten Tag.
Best Practice: Kleine Unternehmen
Auch kleine Betriebe können ohne großen Aufwand ein normkonformes Asset-Management aufbauen:
- Eine einfache Excel- oder Wiki.js-Liste genügt für den Start.
- Mindestens einmal jährlich prüfen – oder wenn neue Systeme eingeführt werden.
- Pro Abteilung einen Asset-Owner benennen (z. B. IT, Vertrieb, Produktion).
- Verknüpfung mit Risiken: Jedes kritische Asset sollte ein zugeordnetes Risiko besitzen.
- Dokumentierte Entsorgung: Alte Systeme oder Datenträger sicher löschen oder archivieren.
So entsteht mit überschaubarem Aufwand ein stabiles Fundament für spätere Zertifizierung oder Audit-Vorbereitung.
ISO 27001 – Asset Management (Grundlagen & Praxis)
Vertiefende Informationen zum Aufbau und zur Pflege eines normkonformen Asset-Registers – unser Cornerstone-Artikel erklärt Struktur, Klassifizierung und Verantwortlichkeiten im Detail.
