Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
ISMS

Asset Management mit Lifecycle-Tracking: das Fundament jedes ISMS

SecTepe Redaktion
|
|
6 Min. Lesezeit

Jedes ISMS-Tool wird mit dem gleichen Befund geboren: das Asset-Inventar ist veraltet, unvollständig, inkonsistent. ISO 27001 A.5.9 verlangt eine vollständige Erfassung der Informationswerte, BSI IT-Grundschutz baut die gesamte Modellierung darauf auf, NIS-2 fordert Risikobewertungen pro Asset. Wer das Inventar nicht im Griff hat, hat das ISMS nicht im Griff.

Was ein „Asset" im ISMS-Kontext überhaupt ist

Asset ist nicht gleich Hardware. Im ISMS-Kontext gehören dazu:

  • Information-Assets: Datenbanken, Dateien, Dokumente – sortiert nach Klassifizierung.
  • Software-Assets: Anwendungen, Lizenzen, Cloud-Subscriptions, Open-Source-Bibliotheken (SBOM).
  • Hardware-Assets: Server, Notebooks, mobile Geräte, IoT-Sensoren, Switches.
  • Service-Assets: interne und externe Dienste (z. B. ein Mail-Service als logisches Asset, gestützt durch Hardware/Software/Personal).
  • Personen-Assets: Schlüsselpersonen mit Sonder-Wissen oder Sonder-Berechtigungen.
  • Lieferanten-Assets: kritische Auftragsverarbeiter und Drittparteien.

Lifecycle-Phasen, die in jedem Audit hängen bleiben

  1. Acquisition: Beschaffung mit Sicherheitsanforderungen.
  2. Operation: aktiver Betrieb mit Konfigurations- und Patch-Management.
  3. Maintenance: regelmäßige Wartung, Update-Zyklen.
  4. Decommissioning: sicherer Daten-Löschung, Hardware-Vernichtung mit Zertifikat.

Klassischer Audit-Befund: Phase 4 ist nicht dokumentiert. Notebooks „verschwinden" am Lebensende, Daten-Vernichtungs-Zertifikate fehlen.

Was SecTepe.Core anders macht

  • Lifecycle-Workflow: jede Asset-Statusänderung (z. B. Operation → Decommissioning) erzwingt einen Workflow mit Daten-Lösch-Beleg-Upload.
  • Schutzbedarfsfeststellung: pro Asset werden Vertraulichkeit, Integrität, Verfügbarkeit auf einer dreistufigen Skala bewertet (BSI-konform), automatisch propagiert auf abhängige Assets.
  • Eigentümer-Zuordnung: jedes Asset hat einen Owner (verantwortlich) und einen Custodian (operativ); Wechsel werden im Audit-Log festgehalten.
  • Abhängigkeits-Graph: ein Datenbank-Server, der einen kritischen Mail-Service stützt, wird automatisch als „kritisch" eingestuft.
  • Auto-Discovery: optionale Connectoren zu Active Directory, Hyper-V/vCenter, AWS-Tags, Kubernetes-Namespaces – das Inventar wird teilautomatisch gefüllt statt manuell.

Verzahnung mit anderen ISMS-Modulen

Ein Asset ohne Bezug zu Risiken, Controls und Reviews ist nur eine Karte in einer Asset-Datenbank. SecTepe.Core verknüpft:

  • Risiko-Modul: jeder Asset hat eine Risk-Matrix mit eintrittswahrscheinlichkeit und Impact pro Bedrohung.
  • Control-Mapping: ISO-27001-Controls werden auf Asset-Klassen referenziert (z. B. A.8.20 Networks security auf alle Network-Assets).
  • Review-Cycle: jährliche Asset-Review mit Owner-Notification – siehe Review-Cycle-Management.
  • BCDR-Plan: kritische Assets bekommen einen RTO/RPO-Eintrag und einen verlinkten Wiederherstellungs-Plan.
  • IVDB-Verknüpfung: in der GKV werden Verfahren aus der IVDB als Asset-Klasse importiert.

Häufige Pain-Points und wie wir sie adressieren

  • „Excel-Realität": 80 % des Inventars ist heute in Excel. Antwort: CSV-/Excel-Import-Wizard mit Konflikt-Detection.
  • „Wem gehört das?": Owner-Zuweisung wird beim Onboarding via Workflow erzwungen (kein Asset ohne Owner).
  • „Veraltete Daten": jährlicher Review-Cycle mit Eskalation, falls Owner nicht reagiert.
  • „Skalierung": 10.000 Assets sind in einer Postgres-Tabelle kein Problem; Bulk-Operations und Tag-basierte Filter halten die UI brauchbar.

Fazit

Asset-Management ist die unspektakulärste, aber auditkritischste Disziplin im ISMS. Wer das Inventar im Griff hat, hat 50 % der ISMS-Arbeit erledigt – wer nicht, kämpft in jedem Audit mit Folge-Befunden in jeder anderen Disziplin. Eine Plattform, die Lifecycle, Schutzbedarf, Owner und Abhängigkeiten als integriertes Modell hält, spart die typischen 200 Personen-Stunden pro Audit-Vorbereitung.

Alle Artikel ansehen Mehr aus dieser Kategorie