Definition
Asset management bezeichnet im IT-Sicherheitskontext die systematische, fortlaufende Erfassung, Verwaltung und regelmäßige Aktualisierung sämtlicher Hardware, Software, Cloud-Dienste und digitalen Zugänge eines Unternehmens als notwendige, unverzichtbare Grundlage eines wirksamen, belastbaren Sicherheitskonzepts.
Erklärung / Hintergrund
Ein vollständiges Asset management umfasst nicht nur Server und Arbeitsplatzrechner, sondern auch mobile Endgeräte, Cloud-Dienste, Softwarelizenzen, Nutzerkonten und externe Schnittstellen. Ziel ist es, jederzeit einen aktuellen Überblick darüber zu haben, welche Systeme im Unternehmen existieren, wer darauf zugreift und wie sie abgesichert sind.
Für Unternehmen ist Asset management relevant, weil vergessene oder unbekannte Systeme, sogenannte Schatten-IT, häufig unbemerkt Sicherheitslücken darstellen. Ohne einen vollständigen Überblick über alle genutzten Systeme lässt sich die eigene Angriffsfläche weder realistisch einschätzen noch wirksam absichern.
Für Architektur- und Ingenieurbüros bedeutet dies konkret, dass sämtliche genutzten CAD- und BIM-Programme, Projektplattformen, Cloud-Speicher und mobilen Geräte erfasst und regelmäßig überprüft werden sollten, insbesondere wenn Mitarbeitende wechseln, Projekte enden oder neue Tools eingeführt werden, ohne dass alte Zugänge konsequent deaktiviert werden.
Abzugrenzen ist Asset management vom Attack Surface Management, das gezielt die Angriffsfläche und mögliche Angriffsvektoren analysiert, sowie vom Security Operations Center, das die laufende Überwachung der erfassten Systeme übernimmt. Ein Backup als Datensicherung setzt ebenfalls ein funktionierendes Asset management voraus, um sicherzustellen, dass wirklich alle relevanten Systeme gesichert werden.
Praxisrelevanz
Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist ein sauberes Asset management die Grundlage jeder wirksamen IT-Sicherheitsstrategie, weil sich nur bekannte und dokumentierte Systeme gezielt absichern lassen. Gerade in wachsenden Büros mit mehreren Projektplattformen, Cloud-Diensten und wechselnden Mitarbeitenden entstehen leicht vergessene Zugänge, die ein erhebliches, oft unbemerktes Risiko darstellen. Eine regelmäßige, möglichst automatisierte Bestandsaufnahme aller Systeme hilft, solche Lücken frühzeitig zu schließen. Auch gegenüber einem Cyberversicherer ist ein dokumentiertes Asset management ein wichtiges Argument, da es ein strukturiertes IT-Sicherheitsmanagement belegt und die realistische Einschätzung des eigenen Risikoprofils erheblich erleichtert, was wiederum Gespräche über passende Vertragsbedingungen deutlich konkreter und zielführender macht.
Praxisbeispiel
Im Rahmen einer erstmaligen IT-Sicherheitsüberprüfung lässt ein Architekturbüro sämtliche genutzten Systeme systematisch erfassen und stellt dabei fest, dass mehrere ehemalige Mitarbeitende noch immer aktive Zugänge zu einem Cloud-Speicher mit vertraulichen Projektdaten besitzen. Diese Zugänge waren nach dem jeweiligen Austritt schlicht nicht deaktiviert worden, da es bislang keinen strukturierten Prozess für das Asset management gab. Nach der Bestandsaufnahme werden alle nicht mehr benötigten Zugänge umgehend entfernt, und die Geschäftsführung führt einen festen, wiederkehrenden Prüfprozess ein, der solche Lücken künftig automatisch aufdeckt. Zusätzlich wird eine verbindliche, unternehmensweite Checkliste für den korrekten Umgang mit sämtlichen digitalen Zugängen bei jedem einzelnen Mitarbeiteraustritt konsequent eingeführt.
FAQ
Was versteht man unter Asset management in der IT-Sicherheit?
Asset management bezeichnet die systematische Erfassung und Verwaltung sämtlicher Hardware, Software und digitaler Zugänge eines Unternehmens als Grundlage für ein wirksames Sicherheitskonzept.
Warum ist unvollständiges Asset management ein Sicherheitsrisiko?
Vergessene oder unbekannte Systeme, sogenannte Schatten-IT, stellen häufig unbemerkte Sicherheitslücken dar, da sie weder aktualisiert noch überwacht werden.
Warum ist Asset management für Architektur- und Ingenieurbüros wichtig?
Bei häufig wechselnden Projektbeteiligten und Tools helfen ein vollständiger Überblick über alle Systeme und ein klarer Prozess zur Deaktivierung nicht mehr benötigter Zugänge, Risiken zu vermeiden.
Welche Rolle spielt Asset management für die Cyberversicherung?
Ein dokumentiertes Asset management belegt ein strukturiertes IT-Sicherheitsmanagement und erleichtert Cyberversicherern die realistische Einschätzung des Risikoprofils eines Unternehmens.
Wie oft sollte eine Bestandsaufnahme aller Systeme erfolgen?
Eine regelmäßige, idealerweise mindestens jährliche Überprüfung sowie eine Aktualisierung bei jedem Mitarbeiterwechsel oder jeder neuen Systemeinführung wird empfohlen.
Verwandte Begriffe
• Attack Surface Management – baut auf einem vollständigen Asset management auf, um die gesamte Angriffsfläche zu analysieren.
• Angriffsfläche – lässt sich nur anhand eines vollständigen Asset managements realistisch einschätzen.
• Security Operations Center (SOC) – überwacht die im Rahmen des Asset managements erfassten Systeme kontinuierlich.
• Backup – setzt ein funktionierendes Asset management voraus, um alle relevanten Systeme zu sichern.
.png?width=900&height=900&name=BDB%20(1).png)
