Inhaltsverzeichnis
Das Wichtigste in Kürze
- Inventar ist Pflicht: Ohne ein vollständiges Verzeichnis aller Werte (Assets) ist keine ISO 27001 Zertifizierung möglich (Control 5.9).
- Excel scheitert oft: Statische Listen veralten sofort und bestehen selten den “Audit-Trail”-Test bei der Rezertifizierung.
- Ownership klären: Jedem Asset muss ein Verantwortlicher zugeordnet sein, nicht nur der IT-Abteilung.
- Automatisierung nutzen: Moderne ISMS-Tools integrieren sich in Microsoft 365, um Hardware und User automatisch zu erfassen.
- Risikobasis: Das Asset Management ist das Fundament für die Risikoeinschätzung – man kann nicht schützen, was man nicht kennt.
Wer im Mittelstand die ISO 27001 einführen möchte, stolpert früher oder später über eine scheinbar simple Anforderung: das Inventarisierungsverzeichnis. In der Theorie klingt es einfach: Schreiben Sie auf, was Sie haben. In der Praxis ist das Asset Management oft der Punkt, an dem Unternehmen im Audit scheitern oder unnötig wertvolle Ressourcen verbrennen.
Die Realität in vielen deutschen KMU sieht so aus: Ein motivierter IT-Leiter erstellt zu Projektbeginn eine Excel-Liste. Laptops, Server, vielleicht ein paar Software-Lizenzen werden eingetragen. Sechs Monate später steht der Auditor vor der Tür. Die Liste wurde seit ihrer Erstellung nicht mehr gepflegt, Mitarbeiter haben das Unternehmen verlassen, neue iPhones wurden ausgegeben, und niemand weiß, wo das MacBook des ehemaligen Marketing-Leiters geblieben ist.
Dieser Ratgeber zeigt Ihnen, wie Sie das Asset Management normkonform, effizient und vor allem nachhaltig aufsetzen – und warum der Weg weg von manuellen Listen hin zu integrierten Systemen führt.
Was fordert die ISO 27001 konkret? (Control 5.9 & 5.10)
Mit dem Update auf die ISO 27001:2022 haben sich die Bezeichnungen geändert (früher Annex A.8), die Kernforderung bleibt jedoch bestehen und wurde sogar geschärft. Es geht um die Inventarisierung von Informationen und anderen zugehörigen Werten.
Die Norm verlangt nicht nur eine Liste von Hardware. Ein “Asset” im Sinne der Informationssicherheit ist alles, was für das Unternehmen einen Wert darstellt und geschützt werden muss. Dazu gehören:
- Physische Assets: Laptops, Smartphones, Server, Zugangskarten.
- Software Assets: Lizenzen, installierte Programme, SaaS-Tools.
- Informationswerte: Kundendatenbanken, Quellcode, Finanzdaten.
- Personelle Assets: Schlüsselpositionen und deren Wissen.
Für jedes dieser Assets müssen zwei Dinge glasklar definiert sein: Der Eigentümer (Owner) und die Klassifizierung (z. B. vertraulich, intern, öffentlich).
Warum die “Excel-Tapete” im Audit fast immer scheitert
Excel ist ein wunderbares Tool für Berechnungen, aber ein furchtbares Tool für Compliance-Management. In unseren ISO 27001 Beratungsprojekten sehen wir immer wieder dieselben Probleme, wenn Unternehmen versuchen, ihr Asset Management manuell zu pflegen:
1. Fehlende Dynamik (Snapshot vs. Realität)
Eine Excel-Liste ist immer nur eine Momentaufnahme. In der Sekunde, in der Sie die Datei speichern, ist sie oft schon veraltet. Ein Mitarbeiter installiert eine neue App, ein Gerät wird ausgetauscht oder geht verloren. Im Audit fragt der Prüfer oft stichprobenartig: “Zeigen Sie mir den aktuellen Status von Gerät XY”. Wenn die Excel-Liste nicht mit der Realität übereinstimmt, gibt es eine Abweichung.
2. Keine Historie (Audit Trail)
Wer hat wann geändert, dass das Laptop nun Herrn Müller gehört? Excel speichert Änderungen oft nicht revisionssicher. Für eine Zertifizierung müssen Sie jedoch nachweisen können, wie der Lebenszyklus eines Assets verwaltet wurde (Lifecycle Management).
3. Die “Schatten-IT” wird ignoriert
Manuelle Listen erfassen meist nur das, was die IT offiziell ausgegeben hat. Die Dropbox, die das Marketing-Team nutzt, oder das Trello-Board der HR-Abteilung tauchen nicht auf. Genau hier liegen aber oft die größten Sicherheitsrisiken.
Der moderne Ansatz: Integration statt Administration
Um im Mittelstand Ressourcen zu schonen, muss das Asset Management so weit wie möglich automatisiert werden. Anstatt Daten abzutippen, sollten vorhandene Quellen genutzt werden. Hier spielt unsere ISMS Software TrustSpaceOS ihre Stärke aus, insbesondere durch die direkte Anbindung an Microsoft 365.
Automatisierung durch Microsoft 365 und MDM
Die meisten modernen Mittelständler nutzen Microsoft 365. Ihr Active Directory und Systeme wie Intune wissen bereits sehr genau, welche Geräte und Nutzer existieren. Eine intelligente Asset-Management-Lösung zieht diese Daten automatisch:
- User-Sync: Neue Mitarbeiter werden automatisch als Asset “Person” angelegt.
- Hardware-Sync: Über Mobile Device Management (MDM) verwaltete Laptops landen direkt im ISMS.
- Status-Überwachung: Kritische Sicherheitsmerkmale, wie der Status der Multi-Faktor-Authentifizierung (MFA), werden nicht händisch geprüft, sondern live gemonitort.
Das Ergebnis ist ein “normgerechtes Review” in Echtzeit. Sie müssen nicht vierteljährlich prüfen, ob die Liste noch stimmt – das System meldet proaktiv, wenn ein Gerät Compliance-Vorgaben verletzt.
TrustSpace Profi-Tipp
Verwechseln Sie “Asset Owner” nicht mit “Benutzer”!
Ein häufiger Fehler: Das Laptop von Frau Schmidt wird Frau Schmidt als “Owner” zugewiesen. In der ISO-Logik ist der Owner aber die Person, die für die Sicherheit und den Lebenszyklus verantwortlich ist (oft die IT oder der Abteilungsleiter). Der Benutzer ist lediglich der “Custodian”. Diese Unterscheidung ist wichtig, wenn Frau Schmidt das Unternehmen verlässt – die Verantwortung für das Asset bleibt beim Owner, bis es neu zugewiesen wird.
Schritt-für-Schritt: Asset Management aufbauen
Wenn Sie noch ganz am Anfang stehen, gehen Sie wie folgt vor, um Struktur in Ihr Inventar zu bringen:
Schritt 1: Scope definieren (Was ist wichtig?)
Nicht jeder Bürohstuhl muss inventarisiert werden. Konzentrieren Sie sich auf Assets, die Informationen verarbeiten, speichern oder übertragen. Starten Sie mit Hardware und Software. Erweitern Sie dann auf Daten-Assets (z. B. “Kundendatenbank”).
Schritt 2: Eigentümer zuweisen
Jedes Asset braucht einen “Kopf”, der dafür geradesteht.
Beispiel: Für das CRM-System ist nicht die IT verantwortlich (die stellt nur die Technik), sondern der Vertriebsleiter (er entscheidet, wer Zugriff hat).
Schritt 3: Klassifizierung festlegen
Wie schützenswert ist das Asset? Nutzen Sie ein einfaches Schema:
– Öffentlich (z. B. Webseite)
– Intern (z. B. Intranet)
– Vertraulich (z. B. Personaldaten)
– Streng vertraulich (z. B. Passwörter, Patente)
Schritt 4: Rückgabeprozesse etablieren
Das Asset Management ist eng verknüpft mit dem Onboarding und Offboarding von Mitarbeitern. Stellen Sie sicher, dass bei einem Austritt (Offboarding) eine Checkliste existiert: Welche Hardware muss zurück? Welche Zugriffe (auch auf Schatten-IT-Tools) müssen gesperrt werden?
Synergien mit anderen Standards (TISAX®, NIS2)
Ein sauberes Asset Management zahlt sich doppelt aus. Wenn Sie beispielsweise in der Automobilindustrie tätig sind und eine TISAX® Beratung benötigen, ist das Inventar ebenfalls eine Grundvoraussetzung (VDA ISA Katalog). Auch die neue EU-Richtlinie NIS2 fordert von betroffenen Unternehmen eine genaue Übersicht ihrer kritischen Assets und Lieferketten. Wer hier einmal sauber arbeitet, deckt mit einem zentralen ISMS gleich mehrere regulatorische Anforderungen ab. Erfahren Sie mehr dazu in unserem Bereich zur NIS2 Beratung.
Häufige Fehler vermeiden
- Zu granular werden: Inventarisieren Sie keine Computermäuse oder HDMI-Kabel. Das bläht die Liste auf und macht die Pflege unmöglich.
- SaaS vergessen: Cloud-Tools sind Assets. Wenn Mitarbeiter Canva, ChatGPT oder Slack nutzen, muss dies erfasst und bewertet werden.
- Keine Verbindung zum Risikomanagement: Ein Asset-Verzeichnis, das nicht mit der Risikoanalyse verknüpft ist, ist wertlos. Sie müssen wissen: “Wenn dieses Asset ausfällt, steht der Betrieb still.”
Fazit: Weniger Verwaltung, mehr Sicherheit
Asset Management nach ISO 27001 ist kein bürokratischer Selbstzweck. Es ist der Versuch, Ordnung in eine immer komplexere IT-Landschaft zu bringen. Für den Mittelstand ist der manuelle Weg via Excel eine Sackgasse. Nutzen Sie moderne Tools, die sich in Ihre bestehende Infrastruktur (wie O365) integrieren, um den Dokumentationsaufwand um bis zu 70 % zu senken.
Ein lebendes ISMS gibt Ihnen nicht nur das Zertifikat an die Wand, sondern die Ruhe, dass Sie im Ernstfall genau wissen, welche Werte betroffen sind und wie sie geschützt werden.
Häufig gestellte Fragen (FAQ)
Muss ich wirklich jedes einzelne Asset auflisten?
Nein. ISO 27001 erlaubt das Gruppieren von gleichartigen Assets (z. B. “Laptops Standard-Arbeitsplatz”), sofern diese denselben Schutzbedarf und denselben Eigentümer haben. Kritische Einzelkomponenten (z. B. der Haupt-Datenbankserver) sollten jedoch individuell erfasst werden.
Wie oft muss das Inventar überprüft werden?
Die Norm fordert eine regelmäßige Überprüfung. In der Praxis hat sich ein jährlicher Review-Zyklus etabliert. Mit automatisierten Tools erfolgt der Abgleich jedoch permanent im Hintergrund, was den manuellen Review-Aufwand massiv reduziert.
Was ist der Unterschied zwischen Asset Inventory und Asset Management?
Das Inventar (Inventory) ist nur die Liste. Das Management umfasst den gesamten Lebenszyklus: Beschaffung, Zuweisung, Wartung, Schutz, Rückgabe und sichere Entsorgung.
Brauche ich eine spezielle Software dafür?
Die Norm schreibt kein Tool vor. Theoretisch reicht Papier und Bleistift. Da dies jedoch fehleranfällig und ineffizient ist, wird ab einer gewissen Unternehmensgröße (ca. 20 Mitarbeiter) dringend zu einer ISMS-Software geraten, um die Komplexität handhabbar zu machen.
Autor
