Wie verschaffe ich mir einen Überblick über meine Assets - und warum ist das so wichtig?
Asset Management - das klingt weitaus komplizierter als es in Wirklichkeit ist - es ist eher eine Fleißaufgabe - auch weil sie niemals aufhört.
Ziel des Assets Managements ist es alles von "Wert" für das eigene Unternehmen zu kennen, zu sortieren und zu erfassen.
Es macht Sinn, je nach Größe des Unternehmens eine oder mehrere Personen (z.B. pro Abteilung) für diese Aufgabe zu gewinnen.
Warum ist Asset Management so wichtig und warum sollte es ein Schritt am Anfang sein?
Durch die Erfassung aller physischen und digitalen Gegenstände und Informationen von Wert in meinem Unternehmen werde ich in die Lage versetzt, zu erkennen, WAS ich nutze, WO ich es nutze, bei WEM es im Einsatz ist und WELCHE Informationen ich (damit) verarbeite bzw. um was für Informationen es sich handelt.
"Asset Management ist der erste Schritt zu mehr Sicherheit im Unternehmen, denn ich kann nur bewusst schützen, worüber ich auch bewusst Kenntnis habe."
Erst wenn ich alle meine Assets kenne, kann ich im nächsten Schritt, im Risikomanagement, mögliche Risiken für diese Assets ermitteln und mit geeigneten Schutzmaßnahmen diesen Risiken entgegenwirken, sie minimieren oder mich sogar dazu entscheiden, auf das Asset ganz zu verzichten, weil ich das Risiko nicht tragen möchte.
Wenn ich aber gar nicht weiß, wer mit welchen Geräten was verarbeitet, welche Daten und Geräte ich überhaupt habe, welche Software-Lizenzen, welche Online-Services ich nutze, dann kann ich Gefahren auch nur schwer einschätzen. Die Meldung einer Schwachstelle in einer Software, die möglicherweise nur auf einem einzelnen Rechner installiert ist, ignoriere ich wahrscheinlich, wenn ich mir nicht darüber bewusst bin, dass ich sie in der Firma einsetze, wenn ich dies nicht erfasst habe.
Mittels Asset-Management kann ich mir schnell einen Überblick verschaffen und auch Gefahren besser einschätzen. Zudem bietet es ein großes Sparpotenzial, wenn ich zum Beispiel erkenne, dass ich zu viele Lizenzen einer bestimmten Software abonniert habe.
Die einfachste Möglichkeit für Selbstständige und kleine Unternehmen ist hierfür eine Excel-Tabelle zu benutzen, das Ergebnis nennen wir dann Asset Register.
Assets für das Register
In einer Tabelle erfassen wir beispielsweise Informationen zu:
allen genutzten Endgeräten (Computer, Laptops, Tablets, Handys etc.)
mit den Endgeräten verbundene Geräte (Monitore, Festplatten, USB-Sicks etc.)
allen im Netzwerk befindlichen Geräten (Netzwerkspeicher, Drucker etc.)
Software auf unseren lokalen Endgeräten (PDF Reader, Mailprogramm etc.)
Software in der Cloud, die wir nutzen (Elster, Office Online etc.)
Services die wir beziehen (Internetprovider, Mobilfunk, Online-Konto etc.)
Domains und Mailadressen, die wir besitzen
Finanzinformationen (Bankkonten, Kreditkarten etc.)
Firmenwagen, Firmenfahrräder, Tankkarten, Bahnkarten etc.
Dienstleister, die für uns tätig sind (Gebäudereinigung, Wartungsfirmen etc.)
Personaldaten (Namen, Personalnummer, Akte, Erreichbarkeit im Notfall etc.)
Kunden (Namen, Kontaktdaten etc.)
usw.
Ein Beispiel könnte so aussehen:
Asset-Art |
IT-Hardware |
Software |
Domain |
Konto |
Kreditkarte |
Personal |
Finanzen |
Mobilität |
Service-Provider |
Aus solch einer Tabelle kann man sich schnell Drop-Down-Menüs erstellen, damit Assets gleich erfasst werden und nicht ständig andere Namen für das Gleiche benutzt werden.
Das Ergebnis sind dann verschiedene Arten von Assets, mit denen ich weiterarbeiten kann.
Asset-Bezeichnung
Die ISO 27001 Norm fordert beispielsweise, dass alle Informationen im Asset-Register eine eindeutige Bezeichnung haben, hier macht es Sinn ein paar Minuten zu verwenden, um sich ein Benennungs-Konzept zu überlegen.
Asset-Lokation
Neben der Bezeichnung könnte es hilfreich sein, zu erfassen, wo das Asset lokalisiert werden kann. Beispielsweise kann eine Software lokal auf dem Rechner installiert sein, dann sollte eine Verknüpfung zwischen den beiden Assets ersichtlich sein. Die Software könnte aber auch in der Cloud laufen.
Bei Software ist es generell wichtig, die Anzahl der verfügbaren Lizenzen mitzuerfassen, um eine Über- und Unterlizensierung zu vermeiden.
Hosting |
Lokal |
Cloud |
Zweck des Assets
Um sich schnell einen Überblick verschaffen zu können, ist es sinnvoll, den Zweck eines Assets einzutragen. Nach einiger Zeit oder Wechsel von Verantwortung lässt sich möglicherweise nicht mehr einfach nachvollziehen, warum eine bestimmte Software gekauft wurde, ein bestimmter Service eingekauft etc. und für welches Business dieses Asset relevant ist.
Vertraulichkeit
Ich empfehle, zu jedem Asset auch die Vertraulichkeitsstufe, sofern schon definiert, mit einzutragen. Personalinformationen sind beispielsweise mindestens vertraulich. Ein PC, welcher diese Daten bearbeitet, dann mindestens auch. So kann man sich von einem Asset zum nächsten hangeln, indem man prüft, bis zu welcher Vertraulichkeitsstufe Informationen mit dem Asset verarbeitet werden.
(Weitere Details zum Thema Vertraulichkeitseinstufung in einem späteren Blogbeitrag)
Vertraulichkeit |
Öffentlich |
Eingeschränkt |
Vertraulich |
Geheim |
Kontaktinformationen
Zu jedem Asset sollten Kontaktinformationen hinterlegt werden, zum Beispiel der Anbieter der Software, bei einem Webservice die eigene Kundennummer und vielleicht die Daten des persönlichen Ansprechpartners.
Nutzungszeit
Es ist sehr wichtig, auch Beginn und Ende der Nutzung eines Assets im Unternehmen einzutragen, Verträge können auslaufen oder mit Absicht nicht verlängert werden, Geräte werden ausgesondert, weil überaltert oder defekt. Es macht Sinn hier zu erfassen, wann die aktive Nutzung endete. So ist beispielsweise nach einem Sicherheitsvorfall bei einem Anbieter schneller ersichtlich, ob dies vor, während oder nach der Nutzung des Services passiert ist und ob man betroffen sein könnte.
Ordner
Je nach individueller Situation kann es auch Sinn machen, bestimmte Ordner als Ganzes zu erfassen, beispielsweise wenn dort Personaldaten gespeichert sind oder bestimmte Dokumente. Ggf. sind Ordner verschlüsselt, dann könnte es hilfreich sein, auch die Zugangsberechtigten zu erfassen
Gebäude
Bei Firmengebäuden und Büros sollten alle Zugangskarten, persönliche und Generalschlüssel erfasst sein und an wen diese ggf. ausgegeben wurden.
Ein Beispiel für die Erfassung von IT-Hardware könnte so aussehen:
IT-Hardware | |||||||||||||
Uniq ID | Asset-Art | Asset-Name | Vertraulichkeit | Zweck | Hosting | Anbieter | Rechnername | Seriennummer | Nutzer | Location | Vertrag? | Nutzung seit | Nutzung bis |
PC-001 | Hardware | Microsoft Surface 9 Pro | Geheim | Laptop | Lokal | Microsoft | BHISC-1 |
| Martin | Braunschweig |
| 14.07.2023 |
|
Es kann noch weitaus mehr erfasst werden und je nach individueller Situation kann dies sinnvoll sein.
Wichtig ist, bei allem zu hinterfragen, ob die Information, das Asset, wirklich wichtig ist. Bei einer IT-Firma mag es wichtig sein, alle mobilen Datenträger zu erfassen, während ein Handwerksbetrieb vielleicht eher bestimmte teure Werkzeuge erfassen würde
Am Ende muss die Frage gestellt werden, ist das Asset schützenswert und wenn ja, dann muss ich mir im nächsten Schritt, der Risikobewertung, Gedanken zum passenden Schutz machen.
Hierauf gehe ich in einem späteren Blogbeitrag noch näher ein.
Fazit:
Excel ist ein guter Anfang, um den Anforderungen des Asset-Managements gerecht zu werden. Eine gründliche Erfassung kann gewährleisten, dass ich meine Schutzmaßnahmen auf meine Assets fokussiere und im Rahmen der Risikobetrachtung kein Asset vergesse.
Es gibt auch Tools auf dem Markt - und bei einer großen Menge an Assets sollte eine Software zur Erfassung in Betracht gezogen werden. Für den Anfang ist eine tabellarische Erfassung aber ausreichend und oft Augen öffnend ("Ach das haben wir ja auch noch").
Das Asset Register sollte in seiner Gesamtheit wenigstens als vertraulich eingestuft werden, einzelne Teile davon können auch niedriger oder höher eingestuft sein, je nach den Regelungen des Unternehmens.
Asset Management ist keine Aufgabe für den Einzelnen, hier ist Teamwork gefragt, um nichts zu vergessen, denn das wirkt sich auf spätere Prozesse und Maßnahmen negativ aus - also: Augen auf und erfassen!
Habt Ihr Fragen zu dem Thema oder benötigt Ihr Unterstützung?
Dann meldet Euch bei mir (Kontaktformular), ruft an oder hinterlasst einen Kommentar.
Gerne stelle ich auf Anfrage auch meine Excel-Vorlage zur Verfügung.
コメント