Sowohl in NIS-2 und ISO 27001 geht es um Asset Management - das klingt für viele Unternehmen erst einmal nach Inventarliste. Genau das ist zu kurz gedacht.
Denn wenn Sie sich im ISMS sauber über den Kontext der Organisation, die interessierten Parteien und daraus den Anwendungsbereich Gedanken gemacht haben, dann wissen Sie im Grunde schon, worum es geht: Was soll in diesem Bereich eigentlich geschützt werden? Scope und Risikobetrachtung funktionieren nur dann sinnvoll, wenn klar ist, welche Assets überhaupt in den betrachteten Bereich fallen. Das NCSC formuliert es sehr ähnlich: Der Scope sollte die Grenzen des betrachteten Systems definieren und klar benennen, welche Assets darin enthalten sind. Außerdem ist das Verständnis der Dinge, die für die eigenen Geschäftsziele kritisch sind, der Ausgangspunkt für ein sinnvolles Risikomanagement.
Genau an dieser Stelle wird A.5.9 praktisch. Die Maßnahme verlangt nicht bloß eine Geräteliste, sondern ein Inventar von Informationen und anderen zugehörigen Werten, zusammen mit ihren jeweiligen Verantwortlichen, und dieses Inventar soll aktuell gehalten werden. Das Ziel ist also nicht Buchhaltung, sondern Steuerbarkeit.
Was Asset Management nach ISO 27001 und NIS-2 eigentlich bedeutet
Anforderung ISO 27001 A.5.9 heißt in der Praxis: Sie erfassen die für Ihr Unternehmen relevanten Werte so, dass Sie darauf aufbauend Schutzmaßnahmen, Zuständigkeiten und Risikobewertungen steuern können. Das betrifft nicht nur Hardware und Software, sondern gerade auch die Informationen selbst. Eine wirksames Asset-Management-Praxis sollte alle relevanten Assets und deren Abhängigkeiten berücksichtigen, einschließlich Daten, Menschen, Systeme und unterstützender Infrastruktur.
In der ISO 27001 - bzw. in der dazugehörigen Risikomanagement-Norm ISO 27005 wird hier von den "primary assets" - den "intangibles" (Informationskategorien, Prozesse etc.) gesprochen.
Das ist wenig greifbar.
Im TISAX®-Umfeld finde ich die Begrifflichkeit "Informationswerte" dafür sehr gelungen. Ein Fachbeitrag zum VDA-ISA beschreibt genau diese Informationswerte als schutzbedürftige Unternehmenswerte. Genau diese Denkrichtung hilft enorm, weil sie das Thema weg von der reinen Geräteliste und hin zu dem lenkt, was Ihnen im Ernstfall wirklich wichtig ist - unabhängig davon, wo es gerade gespeichert ist..
Warum Asset Management unter ISO 27001 so wichtig ist
Viele Sicherheitsmaßnahmen setzen voraus, dass überhaupt klar ist, was geschützt werden soll. Ohne sauberes Asset Management bleiben ganz praktische Fragen offen: Welche Informationen sind besonders kritisch? Welche Systeme verarbeiten diese Informationen? Wer ist verantwortlich? Und wovon hängt der Betrieb ab? Das NCSC beschreibt Asset Management deshalb als Grundlage für Schwachstellenmanagement, Monitoring sowie Incident Management, Reaktion und Wiederherstellung. Wer seine Assets kennt, kann schneller beurteilen, ob eine Schwachstelle relevant ist, welche Datenquellen für Monitoring gebraucht werden und worauf es im Vorfall wirklich ankommt.
Genau deshalb ist A.5.9 keine Nebenübung. Es ist die Brücke zwischen Scope, Risiko und Schutzmaßnahmen. Oder etwas einfacher: Wenn Sie nicht wissen, welche Informationswerte für Sie kritisch sind, schützen Sie zwangsläufig am falschen Ende.
Der häufigste Fehler: Asset Management nur als Geräteliste denken
Der häufigste Fehler ist, Asset Management von der Anlagenbuchhaltung her zu denken.
Informationswerte umfassen eben nicht nur Geräte, sondern auch Informationen, Prozesse und andere schutzbedürftige Unternehmenswerte.
Das NCSC empfiehlt: Kritische Assets können neben Hardware und Software eben auch geistiges Eigentum, geschäftskritische Daten, SaaS-Abhängigkeiten oder zentrale Partner sein. Wer nur Geräte inventarisiert, übersieht oft genau die Dinge, deren Verlust, Veränderung oder Veröffentlichung für das Unternehmen wirklich schmerzhaft wäre.
Welche Informationswerte Sie erfassen sollten
Ein pragmatischer Start sieht meist so aus: Sie sammeln zuerst die primären Assets, also die Informationswerte, um die es Ihnen eigentlich geht. Danach ordnen Sie die unterstützenden Werte zu, auf denen diese Informationen verarbeitet, gespeichert oder übertragen werden -TISAX® hat auch hier klar den einprägsameren Begriff:
Während die ISO 27005 hier von "supporting assets" spricht, heißt es in TISAX®: "Informationsträger".
Hier empfiehlt es sich, zunächst in größeren Clustern zu denken und diese später weiter herunterzubrechen. Für jeden Informationswert (primary asset) sollte dabei gleich ein Verantwortlicher festgelegt werden.
1. Kundendaten und auftragsbezogene Informationen
Zu den Informationswerten gehören in aller Regel Kundendaten, Ansprechpartner, Auftragsdaten, Projektdokumentationen, Vertragsunterlagen, Supportinformationen, Anfragen (Tickets), Abnahmedokumente oder sicherheitsrelevante Informationen, die Kunden Ihnen zur Verfügung stellen. Solche Informationen sind oft direkt geschäftskritisch, weil ohne sie Leistungserbringung, Support oder Abrechnung nicht sauber funktionieren - und aus Reputationssicht wäre der Verlust oder eine Veröffentlichung solcher Informationen ebenfalls heikel.
2. Entwicklungs- und Produktinformationen
Hierzu zählen Sourcecode, Build-Artefakte, technische Konzepte, Schaltpläne, Architekturunterlagen, Backlogs, Roadmaps, Designs, API-Beschreibungen, Testdaten, technische Dokumentation oder interne Wissenssammlungen. Das Geistiges Eigentum aller Art ist in aller Regel ein kritisches primary asset. Gerade für Softwarefirmen ist das meist einer der eigentlichen Kronjuwelen-Bereiche.
3. Zugangsgeheimnisse und Sicherheitsinformationen
Dazu gehören Passwörter, API-Keys, Zertifikate, Recovery-Codes, VPN-Konfigurationen, Secrets in CI/CD-Pipelines, Schlüsselinformationen oder privilegierte Zugangsdaten zu Kundensystemen. Diese Dinge sind oft klein und unscheinbar, aber im Schadenfall von enormer Tragweite. Genau deshalb sollten sie nicht als technische Nebensache irgendwo mitlaufen, sondern als eigener schützenswerter Informationswert sichtbar sein.
4. Kaufmännische und steuerungsrelevante Informationen
Dazu gehören Angebote, Kalkulationen, Abrechnungen, Preislisten, Deckungsbeiträge, Forecasts, Vertriebsdaten oder vertrauliche Verhandlungsstände. Auch diese Informationen können im Einzelfall hochkritisch sein, obwohl sie in klassischen IT-Inventaren oft überhaupt nicht auftauchen.
5. HR- und Organisationsinformationen
Bewerberdaten, Vergütungsdaten, Stammdaten, Beschäftigungsdaten, Leistungsbeurteilungen oder sensible Organisationsunterlagen gehören ebenfalls zu den typischen Informationswerten.
Dies waren nur einige Beispiele für Kategorien von schützenswerten Informationen.
Und was sind dann die unterstützenden Werte (supporting assets)?
Wenn die primären Assets klarer sind, wird der Rest viel einfacher. Dann fragen Sie: Worauf liegen diese Informationen eigentlich? Oder: Womit werden sie verarbeitet? Welche Informationsträger spielen eine Rolle?
Hier kommen ins Spiel: Server, Laptops, Datenbanken, Dateiserver, Cloud-Dienste, Archive, Netzwerkkomponenten, Räume, Aktenschränke, Administrationszugänge, Cloud-Tools, externe Dienstleister, Kommunikationsverbindungen oder auch unterstützende Infrastruktur wie Stromversorgung oder Kühlung - oder auch Personal. Asset Management ist nicht nur IT, sondern auch Abhängigkeiten und unterstützende Infrastruktur!
Der praktische Vorteil ist groß: Wenn Sie zuerst die Informationswerte sauber benennen, laufen Sie viel seltener in die Falle, massenhaft Technik zu inventarisieren, ohne zu verstehen, welche davon für welche schützenswerten Informationen eigentlich relevant ist.
Was ein gutes Asset Register enthalten sollte
Ein gutes Asset Register muss nicht kompliziert sein. Es sollte aber mehr leisten als eine bloße Liste. Das NCSC empfiehlt, dass Records unter anderem enthalten, wer für ein Asset verantwortlich ist, wo es gespeichert ist und wofür es verwendet wird. Für die Risikobetrachtung empfiehlt das NCSC außerdem, Ownership und Bedeutung der Assets festzuhalten.
Sinnvolle Angaben sind zum Beispiel:
- eindeutige Bezeichnung des Informationswerts oder Assets;
- Kategorie, etwa primäres Asset oder unterstützender Wert;
- verantwortliche Person oder verantwortliches Team;
- Speicherort oder technischer Kontext;
- Zweck oder betriebliche Nutzung;
- Abhängigkeiten zu anderen Assets;
- Kritikalität oder Schutzbedarf;
- Status im Lebenszyklus;
- gegebenenfalls Verweis auf zugehörige Systeme, Prozesse oder Schutzmaßnahmen.
Wichtig ist nicht, dass jedes Unternehmen sofort ein riesiges CMDB-Projekt startet. Wichtig ist, dass die Übersicht brauchbar, aktuell und im Alltag anschlussfähig ist - und auch aktuell gehalten wird.
Asset Management ist kein Selbstzweck
Die eigentliche Frage lautet nicht: "Haben wir irgendwo eine Liste?" - sondern: Hilft uns diese Übersicht dabei, Sicherheitsentscheidungen zu treffen?
Wenn Sie dadurch schneller erkennen, welche Informationen besonders schützenswert sind, welche Systeme kritisch sind, wer Entscheidungen treffen muss und welche Abhängigkeiten bei einem Vorfall relevant werden, dann erfüllt Anforderung A.5.9 ihren Zweck.
Wenn die Liste diese Dinge nicht unterstützt, ist sie meistens zu theoretisch, zu techniklastig - oder einfach nicht gepflegt.
Was Auditoren typischerweise sehen wollen
Niemand erwartet in jedem Unternehmen eine perfekte Datenlandschaft mit vollautomatischer Pflege. Aber nachvollziehbar sollte sein, welche relevanten Informationswerte und unterstützenden Werte überhaupt betrachtet werden, wie diese priorisiert werden, wer verantwortlich ist und wie Änderungen eingepflegt werden. Ein guter Reifegrad zeigt sich bspw., wenn relevante Assets identifiziert und inventarisiert, Abhängigkeiten auf unterstützende Infrastruktur erkannt, Assets priorisiert, Verantwortlichkeitensind zugewiesen sind und der Lebenszyklus mitgedacht wird.
Ein Auditor will also typischerweise sehen:
- welche Informationswerte für den Scope wichtig sind;
- dass bzw. wie diese Werte identifiziert wurden;
- wer jeweils verantwortlich ist;
- welche unterstützenden Werte dazugehört;
- wie Kritikalität oder Schutzbedarf sichtbar gemacht wird;
- wie Änderungen, Neueinführungen und Außerbetriebnahmen berücksichtigt werden.
Ein einfaches, gelebtes Verfahren ist auch hier besser als eine komplexe Struktur, die nach drei Monaten niemand mehr pflegt.
Typische Fehler beim Asset Management
Es werden nur Geräte erfasst
Dann fehlen oft genau die eigentlich wichtigen Informationswerte: Kundendaten, Sourcecode, Zugangsgeheimnisse, kaufmännische Unterlagen oder sensible Projektdokumente.
Es gibt keine Verantwortlichkeiten
Dann weiß später niemand, wer ein Asset fachlich beurteilen, priorisieren oder Änderungen veranlassen soll. Ownership ist aber ein Kernpunkt von A.5.9.
Es wird zu fein oder zu grob gestartet
Beides unschön. Wer zu detailliert anfängt, erstickt im Aufwand. Wer zu grob bleibt, bekommt keinen echten Nutzen. Der pragmatische Weg ist meist: erst Cluster, dann schrittweise Verfeinerung.
Das Register ist nach kurzer Zeit veraltet
Dann ist formal etwas dokumentiert, praktisch aber nichts gewonnen. Das Inventar muss aktuell gehalten werden, Änderungen müssen systematisch nachgezogen werden.
FAQ
Typische Fehler beim Asset Management
Es werden nur Geräte erfasst
Dann fehlen Software, Daten, Cloud-Dienste und andere kritische Abhängigkeiten.
Es gibt keine Verantwortlichkeiten
Dann weiß später niemand, wer ein Asset fachlich beurteilen oder Änderungen freigeben soll.
Alles wird gleich behandelt
Dann verschwinden die wirklich kritischen Werte in einer endlosen Liste.
Das Register ist nach drei Monaten veraltet
Dann ist formal etwas dokumentiert, praktisch aber nichts gewonnen.
Asset Management und Risikomanagement sind nicht verbunden
Dann bleibt die Liste isoliert und hat kaum Nutzen für die Sicherheitssteuerung.
FAQ
Nein. Für NIS-2 und ISO 27001 reicht das in der Regel nicht. Relevant sind auch Software, Cloud-Dienste, Daten, kritische Abhängigkeiten und physische Werte mit Sicherheitsbezug.
Ja. Gerade Informationen, SaaS-Dienste, Berechtigungsstrukturen oder zentrale digitale Abhängigkeiten sind oft sicherheitskritischer als einzelne Geräte. Für bestimmte NIS2-Bereiche nennt die EU-Regulierung ausdrücklich sowohl materielle als auch immaterielle Assets.
Nein. Entscheidend ist, dass die für Sicherheit und Betrieb relevanten Werte ausreichend erfasst sind, damit Risiken bewertet und Maßnahmen gesteuert werden können.
Sinnvoll ist mindestens eine klare fachliche oder technische Zuständigkeit. Ohne Verantwortlichkeit wird Asset Management schnell zu einer toten Liste.
Nicht nur periodisch, sondern vor allem bei Änderungen: neue Systeme, neue Software, neue Dienstleister, Stilllegungen, Standortwechsel oder relevante Prozessänderungen sollten eingepflegt werden.
Weil Risiken nur dann sinnvoll bewertet werden können, wenn klar ist, welche Werte betroffen sind, wie kritisch sie sind und wovon der Betrieb abhängt.
Unser Tipp
Asset Management nach NIS-2 und ISO 27001 ist keine lästige Nebenübung und keine reine Inventarisierung. Es ist die Grundlage dafür, überhaupt zu verstehen, was in Ihrem Unternehmen geschützt werden muss, welche Werte besonders kritisch sind und wo Sicherheitsmaßnahmen ansetzen müssen. Wer hier sauber arbeitet, macht es sich später bei Risikomanagement, Schwachstellenmanagement und Audit deutlich leichter.
Interesse geweckt?
Wenn Sie Ihr Asset Management so aufbauen wollen, dass es in der Praxis funktioniert und als Grundlage für NIS-2 und Informationssicherheit wirklich taugt, dann sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!