Skip to main content

Phase 3 – IT-Landschaft erfassen

„Man kann nur schützen, was man kennt.“

Einleitung

Nachdem das Unternehmen und die grundlegenden Anforderungen verstanden wurden, folgt nun die Erfassung der schützenswerten Werte. Diese Werte werden im ISMS als Assets bezeichnet.

Ein häufiger Fehler besteht darin, bei Assets nur an Hardware zu denken. Server, PCs und Firewalls sind zwar wichtig, aber sie sind nur ein Teil des Gesamtbildes. Für ein Unternehmen sind oft Informationen, Geschäftsprozesse, Benutzerkonten, Verträge, Wissen oder Cloud-Dienste mindestens genauso wichtig.

Das Ziel dieser Phase ist daher, alle relevanten Werte des Unternehmens sichtbar zu machen. Erst wenn bekannt ist, welche Assets existieren, wem sie gehören und welche Bedeutung sie für den Geschäftsbetrieb haben, können Risiken sinnvoll bewertet werden.


Ziel der Phase

Das Ziel dieser Phase besteht darin, ein vollständiges und verständliches Asset-Inventar aufzubauen.

Nach Abschluss dieser Phase sollte bekannt sein,

  • welche Informationen besonders schützenswert sind,
  • welche Hardware und Software eingesetzt wird,
  • welche Cloud-Dienste und externen Systeme genutzt werden,
  • welche Benutzerkonten und Dienstkonten existieren,
  • welche Geschäftsprozesse von welchen Assets abhängig sind,
  • wer für einzelne Assets verantwortlich ist,
  • und welche Assets später besonders betrachtet werden müssen.

Das Asset-Inventar ist eine der wichtigsten Grundlagen für Risikoanalyse, Notfallplanung, Dokumentation und technische Schutzmaßnahmen.


Benötigte Teilnehmer

Für diese Phase sollten möglichst Personen beteiligt werden, die einen guten Überblick über die tatsächliche Arbeitsweise des Unternehmens haben.

  • Geschäftsführung
  • IT-Verantwortlicher oder externer IT-Dienstleister
  • Verantwortliche aus den Fachabteilungen
  • Buchhaltung oder Verwaltung
  • Datenschutzbeauftragter, falls vorhanden
  • Verantwortliche für Lager, Produktion oder Außendienst, falls relevant

Gerade bei kleinen Unternehmen reicht die IT-Sicht allein häufig nicht aus. Viele wichtige Informationen befinden sich in Fachabteilungen, auf einzelnen Arbeitsplätzen oder in gewachsenen Abläufen.


Arbeitsergebnisse der Phase

Nach Abschluss dieser Phase sollten mindestens folgende Ergebnisse vorliegen:

  • Asset-Inventar
  • Liste wichtiger Informationsbestände
  • Liste geschäftskritischer Anwendungen
  • Übersicht der Hardware
  • Übersicht der Software und Lizenzen
  • Übersicht der Cloud-Dienste
  • Übersicht der Benutzerkonten und Dienstkonten
  • Zuordnung von Asset-Verantwortlichen
  • Erste Einschätzung des Schutzbedarfs
  • Offene Fragen für die technische Bestandsaufnahme

Das Asset-Inventar muss zu Beginn nicht perfekt sein. Es sollte jedoch so vollständig sein, dass die wichtigsten Werte des Unternehmens bekannt sind.


Warum ist diese Phase wichtig?

Ohne Asset-Inventar bleibt Informationssicherheit unscharf.

Wenn nicht bekannt ist, welche Daten, Systeme, Konten und Dienste existieren, können Risiken nicht sauber bewertet werden. Ebenso können keine sinnvollen Prioritäten gesetzt werden.

Ein kleines Unternehmen kann beispielsweise nur einen Server besitzen, aber auf diesem Server liegen Buchhaltung, Warenwirtschaft, Kundendaten, Verträge und zentrale Freigaben. Technisch ist es nur ein System. Aus Sicht des Unternehmens kann es jedoch der zentrale Betriebsmittelpunkt sein.

Diese Phase sorgt dafür, dass solche Zusammenhänge sichtbar werden.


Checkliste

Informationen

Ziel

Alle wichtigen Informationsbestände des Unternehmens erfassen.

Zu erfassende Informationen

  • Kundendaten
  • Personaldaten
  • Vertragsdaten
  • Buchhaltungsdaten
  • Technische Dokumentationen
  • Konstruktionsdaten
  • Projektunterlagen
  • Zugangsdaten
  • Geschäftsgeheimnisse

Warum ist das wichtig?

Informationen sind häufig die eigentlichen Werte eines Unternehmens. Der Verlust oder die Offenlegung dieser Informationen kann rechtliche, wirtschaftliche oder reputationsbezogene Schäden verursachen.


Hardware

Ziel

Alle physischen IT-Geräte erfassen.

Zu erfassende Informationen

  • Server
  • PCs
  • Notebooks
  • Firewalls
  • Router
  • Switches
  • Access Points
  • Drucker und Multifunktionsgeräte
  • NAS-Systeme
  • USV-Anlagen

Warum ist das wichtig?

Hardware bildet die technische Grundlage vieler Geschäftsprozesse. Alter, Standort, Garantie, Zustand und Kritikalität der Geräte beeinflussen später die Risikoanalyse und die Maßnahmenplanung.


Software

Ziel

Alle eingesetzten Anwendungen und Betriebssysteme erfassen.

Zu erfassende Informationen

  • Betriebssysteme
  • Office-Anwendungen
  • Branchensoftware
  • ERP-Systeme
  • Buchhaltungssoftware
  • Datenbanken
  • Sicherheitssoftware
  • Fernwartungssoftware
  • Spezialprogramme einzelner Abteilungen

Warum ist das wichtig?

Software ist häufig enger mit Geschäftsprozessen verbunden als die Hardware selbst. Besonders kritisch sind Anwendungen, die nur von einzelnen Personen betreut werden, alte Versionen verwenden oder nicht mehr gewartet werden.


Lizenzen

Ziel

Alle relevanten Software- und Nutzungslizenzen erfassen.

Zu erfassende Informationen

  • Lizenznehmer
  • Anzahl der Lizenzen
  • Laufzeiten
  • Wartungsverträge
  • Lizenzschlüssel
  • Abonnements
  • Kündigungsfristen

Warum ist das wichtig?

Fehlende oder unklare Lizenzen können den Betrieb gefährden. Besonders bei Branchensoftware, Datenbanken oder Sicherheitslösungen können abgelaufene Wartungsverträge zu Sicherheits- und Betriebsrisiken führen.


Virtuelle Systeme

Ziel

Virtuelle Server und virtuelle Infrastrukturen erfassen.

Zu erfassende Informationen

  • Virtuelle Maschinen
  • Hypervisor
  • Hosts
  • Cluster
  • Snapshots
  • Virtuelle Netzwerke
  • Storage-Systeme

Warum ist das wichtig?

Virtuelle Systeme sind oft weniger sichtbar als physische Server. Trotzdem können sie geschäftskritische Dienste bereitstellen. Besonders wichtig ist die Zuordnung, auf welcher Plattform welche virtuelle Maschine betrieben wird.


Cloud-Dienste

Ziel

Alle genutzten Cloud- und SaaS-Dienste erfassen.

Zu erfassende Informationen

  • Microsoft 365
  • Google Workspace
  • Cloud-Speicher
  • Online-Buchhaltung
  • CRM-Systeme
  • Webshops
  • Ticketsysteme
  • Hosting-Plattformen
  • Backup-Dienste

Warum ist das wichtig?

Cloud-Dienste werden in kleinen Unternehmen häufig ohne zentrale Übersicht genutzt. Für das ISMS muss bekannt sein, welche Daten dort verarbeitet werden, wer Zugriff hat und wie die Verfügbarkeit abgesichert ist.


Benutzerkonten

Ziel

Alle Benutzerkonten und Zugänge erfassen.

Zu erfassende Informationen

  • Active-Directory-Konten
  • Microsoft-365-Konten
  • Lokale Benutzerkonten
  • Cloud-Konten
  • Administratorkonten
  • Gemeinsam genutzte Konten
  • Konten ausgeschiedener Mitarbeitender

Warum ist das wichtig?

Benutzerkonten sind einer der häufigsten Angriffspunkte. Besonders kritisch sind gemeinsam genutzte Konten, alte Konten, fehlende Mehr-Faktor-Authentifizierung und unklare Administratorrechte.


Dienstkonten

Ziel

Technische Konten erfassen, die von Diensten, Skripten oder Anwendungen genutzt werden.

Zu erfassende Informationen

  • Kontoname
  • Verwendungszweck
  • Berechtigungen
  • Passwortablauf
  • Verantwortlicher
  • Abhängige Systeme

Warum ist das wichtig?

Dienstkonten besitzen häufig weitreichende Rechte und werden selten überprüft. Ein falsch berechtigtes Dienstkonto kann ein erhebliches Sicherheitsrisiko darstellen.


Netzwerkkomponenten

Ziel

Alle Komponenten erfassen, die für Netzwerkkommunikation und Internetzugang erforderlich sind.

Zu erfassende Informationen

  • Router
  • Firewalls
  • Switches
  • Access Points
  • VPN-Gateways
  • Modems
  • Internetanschlüsse
  • Netzwerksegmente

Warum ist das wichtig?

Netzwerkkomponenten sind zentrale Abhängigkeiten. Ein Ausfall der Firewall oder des Internetanschlusses kann den gesamten Betrieb beeinträchtigen.


Mobile Geräte

Ziel

Alle mobilen Endgeräte erfassen, die Zugriff auf Unternehmensdaten haben.

Zu erfassende Informationen

  • Notebooks
  • Smartphones
  • Tablets
  • Private Geräte mit Unternehmenszugriff
  • Mobile Scanner oder Spezialgeräte

Warum ist das wichtig?

Mobile Geräte verlassen regelmäßig die kontrollierte Unternehmensumgebung. Dadurch werden Verschlüsselung, Zugriffsschutz, Fernlöschung und klare Nutzungsregeln besonders wichtig.


Datenträger

Ziel

Wechselmedien und transportable Datenträger erfassen.

Zu erfassende Informationen

  • USB-Sticks
  • Externe Festplatten
  • Backup-Datenträger
  • Speicherkarten
  • Archivmedien

Warum ist das wichtig?

Datenträger können sensible Informationen enthalten und leicht verloren gehen. Besonders wichtig sind Verschlüsselung, Lagerung, Transport und Entsorgung.


Backups

Ziel

Alle Sicherungssysteme und Sicherungsdaten erfassen.

Zu erfassende Informationen

  • Backup-Software
  • Backup-Ziele
  • gesicherte Systeme
  • Sicherungsintervalle
  • Aufbewahrungszeiten
  • Offline- oder Immutable-Backups
  • Restore-Tests

Warum ist das wichtig?

Backups sind selbst ein besonders wichtiges Asset. Sie entscheiden im Notfall darüber, ob ein Unternehmen nach Datenverlust, Ransomware oder Hardwareausfall wieder arbeitsfähig wird.


Kommunikationssysteme

Ziel

Alle Systeme erfassen, die für interne oder externe Kommunikation verwendet werden.

Zu erfassende Informationen

  • E-Mail-Systeme
  • Telefonanlagen
  • Videokonferenzsysteme
  • Messenger
  • Ticketsysteme
  • Faxlösungen
  • Kundenportale

Warum ist das wichtig?

Kommunikationssysteme sind für fast jedes Unternehmen geschäftskritisch. Besonders E-Mail ist häufig gleichzeitig Arbeitsmittel, Archiv, Kommunikationskanal und Angriffsziel.


Verträge

Ziel

Verträge erfassen, die für Betrieb, Verfügbarkeit oder Sicherheit relevant sind.

Zu erfassende Informationen

  • IT-Dienstleistungsverträge
  • Wartungsverträge
  • Hostingverträge
  • Cloud-Verträge
  • Telekommunikationsverträge
  • Softwarepflegeverträge
  • Auftragsverarbeitungsverträge

Warum ist das wichtig?

Verträge legen fest, welche Leistungen tatsächlich geschuldet sind. Gerade bei externen Dienstleistern ist wichtig zu prüfen, ob Reaktionszeiten, Verantwortlichkeiten und Sicherheitsanforderungen geregelt sind.


Dokumentationen

Ziel

Vorhandene Dokumentationen als Asset erfassen.

Zu erfassende Informationen

  • Netzwerkpläne
  • Systemdokumentationen
  • Passwortdokumentationen
  • Notfallhandbücher
  • Prozessbeschreibungen
  • Betriebshandbücher
  • Installationsanleitungen

Warum ist das wichtig?

Dokumentation ist selbst ein schützenswertes Asset. Ohne sie entstehen Abhängigkeiten von einzelnen Personen oder Dienstleistern. Gleichzeitig muss Dokumentation vor unberechtigtem Zugriff geschützt werden.


Gebäude und Räume

Ziel

Räume erfassen, die für Informationssicherheit relevant sind.

Zu erfassende Informationen

  • Serverraum
  • Technikräume
  • Büros
  • Archivräume
  • Lager
  • Empfangsbereiche
  • Besprechungsräume

Warum ist das wichtig?

Informationssicherheit hat auch eine physische Komponente. Zutritt, Brandschutz, Klimatisierung, Wasserschutz und Stromversorgung können entscheidend für die Verfügbarkeit der IT sein.


Schlüssel und Zutrittsmedien

Ziel

Alle physischen Zutrittsmittel erfassen.

Zu erfassende Informationen

  • Schlüssel
  • Transponder
  • Zutrittskarten
  • Codes
  • Alarmanlagenzugänge
  • Schlüsseltresore

Warum ist das wichtig?

Wer physischen Zugriff auf Räume, Server oder Akten hat, kann häufig auch Informationen kompromittieren. Deshalb gehören Zutrittsmittel ebenfalls in die Asset-Betrachtung.


Unternehmenswissen

Ziel

Wissen identifizieren, das nur bei einzelnen Personen vorhanden ist.

Zu erfassende Informationen

  • Spezialwissen zu Software
  • Kundenwissen
  • Prozesswissen
  • technisches Betriebswissen
  • Passwort- und Zugangswissen
  • informelle Arbeitsabläufe

Warum ist das wichtig?

In kleinen Unternehmen ist kritisches Wissen häufig nicht dokumentiert. Der Ausfall einzelner Personen kann dadurch erhebliche Auswirkungen auf den Geschäftsbetrieb haben.


Geschäftsprozesse

Ziel

Geschäftsprozesse als schützenswerte Assets betrachten.

Zu erfassende Informationen

  • kritische Prozesse
  • abhängige Systeme
  • verantwortliche Personen
  • benötigte Informationen
  • maximal tolerierbare Ausfallzeiten
  • manuelle Ersatzverfahren

Warum ist das wichtig?

Ein Geschäftsprozess ist oft wichtiger als ein einzelnes System. Wenn beispielsweise Rechnungsstellung, Versand oder Produktion ausfallen, ist nicht nur die IT betroffen, sondern direkt der Geschäftsbetrieb.


Asset-Verantwortliche

Für wichtige Assets sollte ein Verantwortlicher benannt werden. Diese Person muss nicht technisch für das Asset zuständig sein, sondern fachlich entscheiden können, wie wichtig das Asset für das Unternehmen ist.

Beispiele:

  • Die Buchhaltung ist fachlich verantwortlich für Buchhaltungsdaten.
  • Der Vertrieb ist fachlich verantwortlich für Kundendaten im CRM.
  • Die IT ist technisch verantwortlich für Server und Netzwerke.
  • Die Geschäftsführung ist verantwortlich für strategische Unternehmensinformationen.

Diese Trennung zwischen fachlicher und technischer Verantwortung ist wichtig. Die IT kann Systeme betreiben, aber sie kann nicht allein entscheiden, welchen geschäftlichen Wert bestimmte Informationen besitzen.


Erste Schutzbedarfsbetrachtung

Bereits während der Asset-Erfassung sollte eine erste grobe Einschätzung des Schutzbedarfs erfolgen.

Dabei können die klassischen Schutzziele verwendet werden:

  • Vertraulichkeit: Wer darf die Informationen sehen?
  • Integrität: Wie kritisch wäre eine falsche oder manipulierte Information?
  • Verfügbarkeit: Wie lange darf das Asset ausfallen?

Zu diesem Zeitpunkt genügt eine grobe Bewertung, beispielsweise niedrig, mittel oder hoch. Die detaillierte Bewertung erfolgt später in der Risikoanalyse.


Beispiel für ein einfaches Asset-Inventar

Asset Art Verantwortlicher Schutzbedarf Bemerkung
Fileserver Server IT-Dienstleister hoch Enthält zentrale Unternehmensdaten
Buchhaltungsdaten Information Buchhaltung hoch Rechtlich und wirtschaftlich kritisch
Microsoft 365 Cloud-Dienst Geschäftsführung / IT hoch E-Mail, Kalender und Dokumente
Telefonanlage Kommunikation Verwaltung mittel Ausfall beeinträchtigt Erreichbarkeit
ERP-System Anwendung Geschäftsführung hoch Zentraler Geschäftsprozess

Das Inventar kann zunächst einfach gehalten werden. Wichtig ist, dass es gepflegt und später erweitert werden kann.


Typische Feststellungen

Bei der Asset-Erfassung treten häufig ähnliche Probleme auf:

  • Es existiert keine vollständige Geräteliste.
  • Cloud-Dienste wurden ohne zentrale Freigabe eingeführt.
  • Niemand kennt alle verwendeten Softwareprodukte.
  • Dienstkonten sind nicht dokumentiert.
  • Alte Benutzerkonten sind noch aktiv.
  • Wichtige Informationen liegen nur auf einzelnen Arbeitsplätzen.
  • Backups werden als vorhanden angenommen, aber nicht geprüft.
  • Dokumentation existiert nur beim externen Dienstleister.
  • Verträge und Lizenzen sind nicht zentral abgelegt.

Diese Feststellungen sind besonders wertvoll, weil sie direkt auf spätere Risiken hinweisen.


Hinweise für den IT-Berater

Bei der Asset-Erfassung sollte nicht nur gefragt werden, welche Systeme offiziell vorhanden sind. Ebenso wichtig ist die Frage, wie tatsächlich gearbeitet wird.

Typische hilfreiche Fragen sind:

  • Wo speichern Mitarbeitende wichtige Dateien wirklich?
  • Welche Programme werden täglich verwendet?
  • Welche Systeme dürfen auf keinen Fall ausfallen?
  • Welche Zugänge kennt nur eine Person?
  • Welche Daten wären bei Verlust besonders problematisch?
  • Welche Cloud-Dienste wurden ohne IT-Freigabe eingerichtet?

Gerade in kleinen Unternehmen zeigen sich wichtige Assets oft erst im Gespräch mit den Fachabteilungen.


Praxistipp

Beginnen Sie das Asset-Inventar nicht zu kompliziert.

Eine einfache Tabelle ist für den Einstieg meist besser als ein umfangreiches Tool, das niemand pflegt.

Wichtiger als perfekte Struktur ist Vollständigkeit und Verständlichkeit. Das Inventar muss später von Geschäftsführung, IT und Fachabteilungen nachvollzogen werden können.


Ergebnis der Phase

Nach Abschluss dieser Phase liegt ein erstes Asset-Inventar vor. Die wichtigsten Informationen, Systeme, Dienste, Konten, Verträge und Geschäftsprozesse sind bekannt und dokumentiert.

Damit ist sichtbar, welche Werte des Unternehmens geschützt werden müssen. Auf dieser Grundlage kann in der nächsten Phase die konkrete IT-Landschaft detailliert aufgenommen und mit den erfassten Assets verknüpft werden.