ISMS Copilot
ISO 27001 Glossar

Was ist ein Asset in ISO 27001?

Überblick

Ein Asset (oder Informationswert) in ISO 27001 ist alles, was für Ihre Organisation von Wert ist und Schutz benötigt. Assets umfassen Informationen, Systeme, physische Ausrüstung, Dienste, Personen und den Ruf des Unternehmens, die den Geschäftsbetrieb unterstützen und Schutzmaßnahmen hinsichtlich Vertraulichkeit, Integrität oder Verfügbarkeit erfordern.

Was es in der Praxis bedeutet

Assets sind das, was Sie mit Ihrem ISMS schützen. Ihre Risikobeurteilung beginnt mit der Identifizierung von Assets, stellt dann fest, welche Bedrohungen ihnen schaden könnten, und welche Maßnahmen zum Schutz erforderlich sind.

Praxisbeispiel: Zu den Assets eines SaaS-Unternehmens gehören: Kundendatenbank (Informationen), Quellcode (geistiges Eigentum), Produktionsserver (physisch/technisch), Mitarbeiter mit Fachwissen (Personen), Cloud-Dienste von Drittanbietern (Dienstleistungen) und der Markenruf (immateriell). Jedes dieser Assets erfordert unterschiedliche Schutzmaßnahmen.

Arten von Assets

Informationswerte

  • Strukturierte Daten: Datenbanken, Tabellenkalkulationen, Aufzeichnungen

  • Dokumente: Verträge, Richtlinien, Verfahren, Berichte

  • Geistiges Eigentum: Quellcode, Patente, Geschäftsgeheimnisse, Designs

  • Personenbezogene Daten: Kundeninformationen, Mitarbeiterakten (DSGVO-reguliert)

  • Finanzdaten: Transaktionsdaten, Bankverbindungen, Abschlüsse

  • Kommunikation: E-Mails, Chat-Nachrichten, aufgezeichnete Anrufe

Physische Assets

  • Hardware: Server, Workstations, Laptops, Mobilgeräte

  • Speichermedien: Festplatten, USB-Sticks, Backup-Bänder

  • Infrastruktur: Netzwerkausrüstung, Kabel, Stromversorgungssysteme

  • Einrichtungen: Rechenzentren, Büros, Serverräume

  • Papierdokumente: Gedruckte Unterlagen, Verträge, vertrauliche Akten

Software-Assets

  • Anwendungen: Unternehmenssoftware, CRM, ERP-Systeme

  • Betriebssysteme: Server- und Workstation-Betriebssysteme

  • Entwicklungstools: IDEs, Compiler, Build-Systeme

  • Eigene Software: Im Haus entwickelte Anwendungen

  • Lizenzen: Softwareberechtigungen und -rechte

Dienstleistungen

  • IT-Dienste: Cloud-Plattformen, SaaS-Anwendungen, Managed Services

  • Versorgungseinrichtungen: Strom, Kühlung, Telekommunikation

  • Support-Dienstleistungen: Wartungsverträge, Sicherheitsüberwachung

  • Drittanbieter: Ausgelagerte Funktionen, Berater

Personen

  • Fachwissen: Fähigkeiten, die schwer zu ersetzen sind

  • Schlüsselpersonal: Personen, die für den Betrieb kritisch sind

  • Institutionelles Wissen: Undokumentierte Prozesse, die nur bestimmten Personen bekannt sind

Immaterielle Werte

  • Reputation: Markenwert, Kundenvertrauen

  • Goodwill: Geschäftsbeziehungen, Marktposition

  • Einhaltung gesetzlicher Vorschriften: Lizenzen, Zertifizierungen

Umfang der Asset-Identifizierung: Konzentrieren Sie sich auf Assets innerhalb Ihres definierten ISMS-Anwendungsbereichs (Scope). Wenn Ihr Scope die "kundenorientierte Webanwendung und unterstützende Infrastruktur" ist, müssen Assets außerhalb dieser Grenze (wie interne HR-Systeme) für ISO 27001-Zwecke nicht inventarisiert werden.

Asset-Inventar (A.5.9)

Warum ein Inventar obligatorisch ist

ISO 27001-Maßnahme A.5.9 erfordert ein „Inventar der Informationen und anderer damit verbundener Werte“. Man kann nicht schützen, was man nicht kennt. Das Asset-Inventar ist die Grundlage der Risikobeurteilung.

Was in das Inventar aufgenommen werden sollte

Dokumentieren Sie für jedes Asset:

  • Asset-ID: Eindeutige Kennung

  • Asset-Name/Beschreibung: Klare Identifizierung

  • Asset-Typ: Informationen, physisch, Software, Dienstleistung usw.

  • Eigentümer: Verantwortliche Person für das Asset

  • Standort: Physischer oder logischer Ort

  • Klassifizierung: Sensibilitätsstufe (Öffentlich, Intern, Vertraulich usw.)

  • Wert: Bedeutung für das Geschäft (optional, aber hilfreich)

  • Abhängigkeiten: Andere Assets, auf denen es basiert oder die es unterstützt

Formate des Inventars

  • Tabellenkalkulation: Einfach, geeignet für kleine Organisationen

  • Datenbank: Besser für mittlere/große Organisationen mit vielen Assets

  • GRC-Tool: Integriert mit Risikobeurteilung und Maßnahmenmanagement

  • Konfigurationsdatenbank (CMDB): Technische Assets, die in IT-Systemen verfolgt werden

Häufiger Fehler: Das Erstellen eines erschöpfenden Inventars von jedem Stift und jeder Büroklammer. Konzentrieren Sie sich auf Assets, die für Informationssicherheitsrisiken wesentlich sind. Ein Inventar mit 500 Zeilen trivialer Gegenstände ist schwerer zu pflegen als eine fokussierte Liste mit 50 kritischen Assets.

Asset-Eigentum (Ownership)

Was Asset-Eigentum bedeutet

Der Asset-Eigentümer (Asset Owner) ist verantwortlich für:

  • Die Festlegung der Klassifizierungs- und Schutzanforderungen

  • Die Genehmigung des Zugriffs auf das Asset

  • Die Sicherstellung, dass angemessene Kontrollen angewendet werden

  • Die regelmäßige Überprüfung der Asset-Sicherheit

  • Die Autorisierung der Entsorgung oder Stilllegung des Assets

Eigentümer vs. Verwahrer (Custodian)

  • Eigentümer: Geschäftsrolle, die für das Asset rechenschaftspflichtig ist (meist Manager oder Führungskraft)

  • Verwahrer: Technische Rolle, die die tägliche Sicherheit des Assets verwaltet (oft das IT-Team)

Beispiel: Der Vertriebsleiter könnte Eigentümer der Kundendatenbank sein (geschäftliche Rechenschaftspflicht), während der Datenbankadministrator der Verwahrer ist (technische Verwaltung).

Best Practice: Weisen Sie Eigentümer auf einer angemessenen Ebene zu – hoch genug, um Autorität und Rechenschaftspflicht zu haben, aber nah genug am Asset, um fundierte Entscheidungen zu treffen. Eine Führungskraft auf C-Ebene, die Eigentümer von 200 einzelnen Assets ist, kann diese nicht effektiv verwalten.

Klassifizierung von Informationswerten (A.5.12)

Warum Assets klassifiziert werden

Die Klassifizierung stellt sicher, dass Assets basierend auf ihrer Sensibilität und ihrem Wert angemessenen Schutz erhalten. Nicht alle Daten benötigen die gleiche Sicherheit – die Klassifizierung ermöglicht eine proportionale Auswahl von Maßnahmen.

Gängige Klassifizierungsschemata

Basis (3 Stufen)

  • Öffentlich: Kann frei offengelegt werden

  • Intern: Für den internen Gebrauch, nicht öffentlich

  • Vertraulich: Sensibel, eingeschränkter Zugriff

Standard (4 Stufen)

  • Öffentlich: Keine Auswirkungen auf die Vertraulichkeit bei Offenlegung

  • Intern: Geringe Auswirkungen bei Offenlegung

  • Vertraulich: Mittlere bis hohe Auswirkungen bei Offenlegung

  • Geheim/Streng vertraulich: Schwere Auswirkungen bei Offenlegung

Detailliert (5+ Stufen)

Einige Organisationen fügen Stufen wie „Proprietär“, „Sensibel“ oder regulierungsspezifische Klassifizierungen (PII, PHI, PCI) hinzu.

Klassifizierungskriterien

Bestimmen Sie die Klassifizierung basierend auf den Auswirkungen auf die CIA-Schutzziele bei einer Kompromittierung:

  • Vertraulichkeit: Auswirkung unbefugter Offenlegung

  • Integrität: Auswirkung unbefugter Änderung

  • Verfügbarkeit: Auswirkung von Verlust oder Nichtverfügbarkeit

Berücksichtigen Sie außerdem:

  • Gesetzliche/regulatorische Anforderungen (DSGVO, HIPAA, PCI DSS)

  • Vertragliche Verpflichtungen (Geheimhaltungsvereinbarungen mit Kunden, Lieferantenverträge)

  • Geschäftswert und Wettbewerbssensibilität

Klassifizierungsrichtlinien: Erstellen Sie klare Entscheidungskriterien für jede Stufe. Zum Beispiel: „Vertraulich: Personenbezogene Daten, Finanzberichte, Geschäftsgeheimnisse oder Daten, deren Offenlegung erheblichen Geschäftsschaden oder behördliche Strafen nach sich ziehen würde.“

Bewertung von Assets

Warum Assets bewertet werden

Der Asset-Wert hilft dabei, Schutzbemühungen zu priorisieren und Investitionen in Sicherheitsmaßnahmen zu rechtfertigen. Hochwertige Assets rechtfertigen stärkere (und teurere) Kontrollen.

Bewertungsansätze

Quantitativ (finanziell)

  • Wiederbeschaffungskosten (Hardware, Softwarelizenzen)

  • Umsatzeinbußen bei Nichtverfügbarkeit

  • Mögliche Bußgelder oder Strafen bei Kompromittierung

  • Marktwert oder Wert des geistigen Eigentums

Qualitativ (Geschäftsauswirkung)

  • Kritisch: Lebensnotwendig für das Überleben des Unternehmens

  • Hoch: Erhebliche geschäftliche Auswirkungen

  • Mittel: Spürbare Auswirkungen, aber Alternativen vorhanden

  • Niedrig: Minimale Auswirkungen bei Verlust oder Kompromittierung

Faktoren, die den Asset-Wert beeinflussen

  • Wiederbeschaffungskosten und -aufwand

  • Zeit zur Wiederherstellung oder Neuerstellung

  • Umsatzabhängigkeit

  • Regulatorische Bedeutung

  • Geleisteter Wettbewerbsvorteil

  • Reputationsschaden bei Kompromittierung

Wert ist nicht nur Preis: Die Wiederbeschaffungskosten einer Kundendatenbank mögen bescheiden sein, aber ihr Wert umfasst jahrelangen Beziehungsaufbau, Wettbewerbsvorteile und DSGVO-Compliance-Verpflichtungen. Der Wert umfasst alle geschäftlichen Auswirkungen, nicht nur die finanziellen Ersatzkosten.

Asset-Lebenszyklus-Management

Beschaffung

  • Bei Erwerb zum Asset-Inventar hinzufügen

  • Eigentümer zuweisen und klassifizieren

  • Angemessene Maßnahmen basierend auf der Klassifizierung anwenden

Nutzung

  • Betrieb innerhalb der Richtlinien für die zulässige Nutzung (A.5.10)

  • Aufrechterhaltung von Kontrollen während des gesamten Lebenszyklus

  • Regelmäßige Überprüfung der Zugriffsberechtigungen

Änderung

  • Inventar aktualisieren, wenn sich Assets ändern

  • Klassifizierung neu bewerten, wenn sich Nutzung oder Sensibilität ändern

  • Change-Management-Prozessen folgen (A.8.32)

Übertragung

  • Vertraulichkeit während der Übertragung wahren (A.5.14)

  • Eigentümerschaft im Inventar aktualisieren

  • Sicherstellen, dass Kontrollen bestehen bleiben

Entsorgung

  • Informationen sicher löschen (A.8.10)

  • Physische Vernichtung, falls erforderlich

  • Vom Inventar entfernen

  • Geleaste/lizenzierte Assets zurückgeben (A.5.11)

Assets und Risikobeurteilung

Asset-zentrierte Risikobeurteilung

Gängiger Ansatz zur Risikobeurteilung:

  1. Identifizierung der Assets

  2. Bestimmung von Asset-Wert/Klassifizierung

  3. Identifizierung von Bedrohungen für jedes Asset

  4. Identifizierung von Schwachstellen, die Bedrohungen ausnutzen könnten

  5. Beurteilung der Auswirkungen, falls eine Bedrohung eine Schwachstelle ausnutzt

  6. Bewertung der Eintrittswahrscheinlichkeit

  7. Berechnung der Risikostufe (Auswirkung × Wahrscheinlichkeit)

  8. Auswahl von Maßnahmen zur Risikominderung

Asset-Abhängigkeiten

Berücksichtigen Sie Abhängigkeiten bei der Risikobeurteilung. Wenn Asset A von Asset B abhängt, bedrohen Bedrohungen für Asset B auch Asset A.

Beispiel: Ihre kundenorientierte Webanwendung hängt vom Datenbankserver ab. Risiken für die Datenbank werden indirekt zu Risiken für die Anwendung.

Verwandte Konzepte

Hilfe erhalten

Nutzen Sie ISMS Copilot, um Vorlagen für Asset-Inventare zu erstellen, für Ihr Unternehmen geeignete Klassifizierungsschemata zu entwickeln und Assets effizient mit Risikobeurteilungen zu verknüpfen.

War das hilfreich?