ISO 27001 Asset Management: Das Fundament Ihrer Informationssicherheit

In der Welt der Informationssicherheit gibt es einen Grundsatz, der so alt ist wie die IT selbst: Man kann nicht schützen, was man nicht kennt. Das ISO 27001 Asset Management ist deshalb weit mehr als eine bürokratische Fleißaufgabe oder das bloße Auflisten von Laptops und Servern. Es ist das operative Fundament Ihres Information Security Management Systems (ISMS).

Für Geschäftsführer und IT-Verantwortliche im Mittelstand stellt dieser Bereich oft eine doppelte Herausforderung dar. Einerseits verlangt die Norm (und der Auditor) eine penible Übersicht über alle werthaltigen Informationen. Andererseits ist die IT-Landschaft heute dynamischer denn je: Cloud-Dienste, SaaS-Applikationen und mobile Endgeräte lassen klassische Inventarlisten oft schon im Moment ihrer Erstellung veralten. In diesem Ratgeber erfahren Sie, wie Sie das Asset Management normkonform, aber vor allem praxisnah und wartungsarm aufsetzen.

 

Was sind „Assets“ in der ISO 27001 wirklich?

Viele Unternehmen starten mit dem Missverständnis, Asset Management sei reine Hardware-Verwaltung. Die ISO 27001 definiert den Begriff jedoch deutlich breiter. Ein Asset (Wert) ist alles, was für die Organisation von Wert ist und geschützt werden muss. Wenn Sie Ihr Inventar aufbauen, müssen Sie in Kategorien denken, die über das physische Gerät hinausgehen.

Zu den relevanten Asset-Typen gehören:

• Physische Assets: Server, Laptops, Smartphones, Router, aber auch Zutrittskarten.
• Software-Assets: Betriebssysteme, Fachanwendungen, SaaS-Lizenzen (z. B. Salesforce, HubSpot).
• Informations-Assets: Kundendatenbanken, Quellcode, Patentpläne, Finanzdaten (oft die kritischsten Werte).
• Personelle Assets: Spezifisches Know-how von Schlüsselmitarbeitern (wird oft im Risikomanagement betrachtet).

Die Herausforderung liegt hier in der Abstraktionsebene. Wenn Sie jedes einzelne USB-Kabel inventarisieren, ersticken Sie in Datenmüll. Wenn Sie nur „IT-Infrastruktur“ als einen Punkt aufschreiben, ist dies für eine Risikoanalyse zu ungenau. Der Schlüssel liegt in einer sinnvollen Gruppierung, die Risiken erkennbar macht.

 

Die Normanforderungen: Von Annex A.8 zu Control 5.9

Mit der Aktualisierung auf die ISO/IEC 27001:2022 hat sich die Struktur leicht verändert, der Kern bleibt jedoch identisch. Während man früher oft pauschal vom „Annex A.8“ sprach, sind die Anforderungen nun präziser in den Organisatorischen Maßnahmen (Controls 5.x) verortet. Ein modernes ISMS muss folgende Kernpunkte erfüllen:

1. Inventarisierung von Werten (Control 5.9)

Die Norm fordert ein Inventar aller Werte, die mit Informationen und informationsverarbeitenden Einrichtungen verbunden sind. Dieses Inventar muss gepflegt und aktuell gehalten werden. In der Praxis bedeutet das: Eine einmalige Liste reicht nicht. Sie benötigen einen Prozess (oder besser: eine Software), der Änderungen – wie das Onboarding neuer Mitarbeiter oder die Anschaffung neuer Laptops – abbildet. Hier greift unsere ISMS Software, die Inventarisierung zentralisiert und dynamisch hält, statt in toten Dokumenten zu enden.

2. Zulässiger Gebrauch von Werten (Control 5.10)

Es reicht nicht, die Geräte zu besitzen; es muss geregelt sein, wie damit umgegangen wird. Dies wird meist über eine „Acceptable Use Policy“ (AUP) gelöst. Dürfen Mitarbeiter private Software installieren? Darf der Firmenlaptop im Urlaub genutzt werden? Diese Regeln müssen dokumentiert und den Mitarbeitern bekannt gemacht werden.

3. Rückgabe von Werten (Control 5.14)

Ein kritischer Moment im Lebenszyklus eines Assets ist das Offboarding. Wenn Mitarbeiter oder externe Dienstleister das Unternehmen verlassen, muss sichergestellt sein, dass alle Assets – physisch wie digital – zurückgegeben oder Zugriffsberechtigungen entzogen werden. Dies ist ein häufiger Audit-Stolperstein, wenn Laptops zwar zurückgegeben, aber Cloud-Zugänge nicht deaktiviert wurden.

 

Der Asset Owner: Wer trägt die Verantwortung?

Ein zentrales Konzept der ISO 27001 ist die Zuweisung eines „Asset Owners“ (Verantwortlichen). Ein häufiger Fehler in KMUs ist die Annahme: „Das macht alles die IT.“

Die IT-Abteilung ist oft der „Custodian“ (Verwalter), der sicherstellt, dass der Server läuft und gepatcht ist. Der „Owner“ sollte jedoch meist aus der Fachabteilung kommen. Der Vertriebsleiter ist der Owner der Kundendaten im CRM, denn er entscheidet, wer Zugriff haben darf und wie kritisch diese Daten sind. Die IT setzt diese Vorgaben technisch um.

Diese Trennung ist essenziell für das Risikomanagement. Nur der Fachbereich kann beurteilen, welcher finanzielle Schaden entsteht, wenn ein bestimmter Datensatz verloren geht. Ohne klare Owner-Struktur bleibt die Risikobewertung ein Ratespiel der IT-Abteilung.

Schritt-für-Schritt: Aufbau eines modernen Asset Managements

Um von der Theorie in die Praxis zu kommen, empfiehlt sich ein strukturiertes Vorgehen, das wir auch im Rahmen unserer ISO 27001 Beratung anwenden. Vermeiden Sie den Versuch, alles an einem Tag zu erfassen.

Schritt 1: Discovery und Aufnahme

Beginnen Sie mit den kritischen Systemen (ERP, CRM, Produktionssteuerung) und der Hardware (Server, Clients). Nutzen Sie vorhandene Quellen: Buchhaltung (Anlagenverzeichnis), Active Directory oder Device-Management-Tools. Importieren Sie diese Daten in Ihr ISMS-Tool, um Dopplungen zu vermeiden.

Schritt 2: Klassifizierung der Informationen

Nicht jedes Asset ist gleich wichtig. Verbinden Sie das Asset Management mit der Informationsklassifizierung (Control 5.12). Markieren Sie Assets als „Öffentlich“, „Intern“, „Vertraulich“ oder „Streng Vertraulich“. Ein Laptop des Geschäftsführers hat durch die darauf gespeicherten Daten einen höheren Schutzbedarf als der Rechner am Empfang.

Schritt 3: Verknüpfung mit Risiken

Hier zeigt sich der wahre Wert des Asset Managements. Identifizieren Sie Bedrohungen für die Assets. Was passiert, wenn der Server ausfällt (Verfügbarkeit)? Was, wenn das Notebook gestohlen wird (Vertraulichkeit)? Aus diesen Szenarien leiten Sie Maßnahmen ab – etwa Verschlüsselung oder Backups.

Schritt 4: Automatisierung und Pflege

Integrieren Sie das Asset Management in Ihre Prozesse. Ein neues Gerät wird beschafft? Es muss vor der Ausgabe inventarisiert werden. Ein Mitarbeiter geht? Die Checkliste zur Rückgabe muss greifen. Tools wie TrustSpaceOS können hier durch Automatisierungen (z. B. O365-Monitoring) unterstützen, um die Liste aktuell zu halten, ohne dass Sie manuell Excel-Zellen schieben müssen.

 

Häufige Fehler und wie Sie diese vermeiden

Auch bei bester Absicht scheitern Unternehmen oft an der dauerhaften Pflege. Die häufigsten Fallstricke im Asset Management sind:

Die „Schatten-IT“ ignorieren: Fachabteilungen buchen oft eigenständig Cloud-Tools (SaaS), ohne die IT zu informieren. Diese Assets tauchen im Inventar nicht auf, stellen aber ein Sicherheitsrisiko dar. Eine klare Richtlinie und regelmäßige Abfragen bei den Abteilungsleitern helfen hier.

Mangelnde Schnittstellen zu anderen Normen: Viele Unternehmen behandeln ISO 27001 isoliert. Dabei fordert auch TISAX® für die Automobilbranche oder die NIS2-Richtlinie ein sauberes Asset-Verzeichnis. Ein integriertes System spart Ihnen hier die doppelte und dreifache Arbeit.

Verwechslung mit der Finanzbuchhaltung: Das Anlagenverzeichnis der Buchhaltung ist eine gute Startbasis, aber nicht deckungsgleich mit dem ISMS-Inventar. Die Buchhaltung schreibt ab und löscht Assets oft aus den Büchern, während die IT das alte Gerät noch als Testserver nutzt. Für die Informationssicherheit ist der Testserver weiterhin ein relevantes Asset, das gepatcht werden muss.

 

Fazit: Asset Management als Enabler

ISO 27001 Asset Management ist die Karte Ihres Unternehmens-Territoriums. Ohne sie navigieren Sie im Blindflug durch Risiken und Bedrohungen. Wer dieses Thema nicht als bürokratische Hürde, sondern als Chance für Transparenz begreift, gewinnt doppelt: Sie bestehen Audits souverän und schaffen gleichzeitig die Grundlage für effiziente IT-Operations und schnelle Reaktion im Ernstfall (Incident Response).

Mit der Kombination aus pragmatischer Beratung und der TrustSpace-Plattform transformieren Sie diese Anforderung von einer Excel-Wüste in einen lebenden, wertschöpfenden Prozess. Weitere Einblicke in unsere Philosophie und das Team finden Sie auf unserer Über uns Seite.

 

Häufig gestellte Fragen (FAQ)

Muss ich für ISO 27001 zwingend eine spezielle Software für Asset Management nutzen?

Die Norm schreibt kein spezifisches Tool vor. Theoretisch ist eine Tabellenkalkulation zulässig. In der Praxis stößt Excel jedoch ab einer gewissen Unternehmensgröße (ca. 20 Mitarbeiter) schnell an Grenzen bezüglich Versionierung, Verknüpfung zu Risiken und Übersichtlichkeit. Auditoren bevorzugen Systeme, die Historie und Zusammenhänge (z. B. Asset zu Risiko zu Maßnahme) nachvollziehbar abbilden.

Was ist der Unterschied zwischen IT Asset Management (ITAM) und ISO 27001 Asset Management?

ITAM fokussiert sich oft auf Lizenzmanagement, Lebenszykluskosten und Wartungsverträge. ISO 27001 fokussiert sich auf den Schutzbedarf und die Risiken, die von einem Asset ausgehen oder auf es einwirken. Beide Disziplinen sollten idealerweise in einer Datenbank harmonisiert werden, um Redundanzen zu vermeiden.

Gehören Cloud-Dienste (SaaS) auch in das Asset-Inventar?

Ja, unbedingt. Auch wenn die Hardware nicht Ihnen gehört, sind die darin verarbeiteten Daten und der Zugang (der Account) kritische Assets. Sie müssen wissen, welcher Dienstleister welche Daten verarbeitet, um das Lieferantenmanagement (Supplier Management) korrekt durchzuführen.

Wie detailliert muss das Inventar sein?

So detailliert wie nötig, um Risiken zu steuern. Eine Maus muss selten einzeln erfasst werden, ein Laptop schon (wegen Diebstahlrisiko und Verschlüsselung). Ein Server sollte nicht nur als „Server“ erfasst werden, sondern idealerweise mit Informationen zu Betriebssystem, Standort und darauf laufenden Anwendungen.