Phase 3 – IT-Landschaft erfassen
„
ManEinkannISMS schützt Werte – nicht nurschützen, was man kennt.Computer.“
Einleitung
NachdemPhase das3 Unternehmen– Assets erfassen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die grundlegenden Anforderungen verstanden wurden, folgt nun die Erfassung der schützenswerten Werte. Diese Werte werden im ISMS als Assets bezeichnet.Geschäftsführung.
Ein häufiger Fehler besteht darin, bei Assets nur an Hardware zu denken. Server, PCs und Firewalls sind zwar wichtig, aber sie sind nur ein Teil des Gesamtbildes. Für ein Unternehmen sind oft Informationen, Geschäftsprozesse, Benutzerkonten, Verträge, Wissen oder Cloud-Dienste mindestens genauso wichtig.
Das Ziel dieser Phase ist daher, alle relevanten Werte des Unternehmens sichtbar zu machen. Erst wenn bekannt ist, welche Assets existieren, wem sie gehören und welche Bedeutung sie für den Geschäftsbetrieb haben, können Risiken sinnvoll bewertet werden.
Ziel der Phase
Das Ziel dieserist Phasees, bestehtdie darin,relevanten einInformationen vollständigesstrukturiert zu erfassen, verständlich zu dokumentieren und verständlichesals Asset-Inventar aufzubauen.
Nach Abschluss dieser Phase sollte bekannt sein,
welche Informationen besonders schützenswert sind,welche Hardware und Software eingesetzt wird,welche Cloud-Dienste und externen Systeme genutzt werden,welche Benutzerkonten und Dienstkonten existieren,welche Geschäftsprozesse von welchen Assets abhängig sind,werGrundlage füreinzelnedieAssetsnächstenverantwortlichSchritteist,nutzbar undzuwelche Assets später besonders betrachtet werden müssen.
Das Asset-Inventar ist eine der wichtigsten Grundlagen für Risikoanalyse, Notfallplanung, Dokumentation und technische Schutzmaßnahmen.machen.
Benötigte Teilnehmer
Für diese Phase sollten möglichst Personen beteiligt werden, die einen guten Überblick über die tatsächliche Arbeitsweise des Unternehmens haben.
- Geschäftsführung oder IT-Entscheider
IT-VerantwortlicherInterner oder externer IT-DienstleisterVerantwortlicherVerantwortlicheFachabteilungenausnachden FachabteilungenBedarfBuchhaltungDatenschutz oderVerwaltungDatenschutzbeauftragter,Qualitätsmanagement, falls vorhandenVerantwortliche für Lager, Produktion oder Außendienst, falls relevant
Gerade bei kleinen Unternehmen reicht die IT-Sicht allein häufig nicht aus. Viele wichtige Informationen befinden sich in Fachabteilungen, auf einzelnen Arbeitsplätzen oder in gewachsenen Abläufen.
Arbeitsergebnisse der Phase
Nach
- Dokumentierte Ergebnisse
vorliegen:Asset-InventarListe wichtiger InformationsbeständeListe geschäftskritischer AnwendungenÜbersichtderHardwareÜbersicht der Software und LizenzenÜbersicht der Cloud-DiensteÜbersicht der Benutzerkonten und DienstkontenZuordnung von Asset-VerantwortlichenErste Einschätzung des SchutzbedarfsBestandsaufnahme- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die
technischenächsteBestandsaufnahmePhase
Das Asset-Inventar muss zu Beginn nicht perfekt sein. Es sollte jedoch so vollständig sein, dass die wichtigsten Werte des Unternehmens bekannt sind.Warum ist diese Phase wichtig?Ohne Asset-Inventar bleibt Informationssicherheit unscharf.Wenn nicht bekannt ist, welche Daten, Systeme, Konten und Dienste existieren, können Risiken nicht sauber bewertet werden. Ebenso können keine sinnvollen Prioritäten gesetzt werden.Ein kleines Unternehmen kann beispielsweise nur einen Server besitzen, aber auf diesem Server liegen Buchhaltung, Warenwirtschaft, Kundendaten, Verträge und zentrale Freigaben. Technisch ist es nur ein System. Aus Sicht des Unternehmens kann es jedoch der zentrale Betriebsmittelpunkt sein.Diese Phase sorgt dafür, dass solche Zusammenhänge sichtbar werden.
Checkliste
Informationen
Ziel
KonstruktionsdatenAlleKundendaten,wichtigenPersonaldaten,InformationsbeständeVerträge,desAngebote,UnternehmensE-Mails,erfassen.ZuunderfassendeKalkulationen werden erfasst. Informationen sind oft das wichtigste Asset.KundendatenPersonaldatenVertragsdatenBuchhaltungsdatenTechnische DokumentationenKonstruktionsdatenProjektunterlagenZugangsdatenGeschäftsgeheimnisse
Warum ist das wichtig?
InformationenDieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sindhäufigviele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch dieeigentlichenstrukturierteWerteErfassungeinesentstehtUnternehmens.TransparenzDerundVerlusteineoderbelastbaredieGrundlageOffenlegungfürdieserRisikoanalyse,InformationenMaßnahmenplanungkannundrechtliche,späterewirtschaftliche oder reputationsbezogene Schäden verursachen.Audits.
Hardware
Ziel
AlleServer,physischenPCs,IT-Notebooks, Drucker, Netzwerkgeräte, mobile Geräteerfassen.Zu erfassende InformationenServerPCsNotebooksFirewallsRouterSwitchesAccess PointsDruckerundMultifunktionsgeräteDatenträger NAS-Systemewerden USV-Anlagenaufgenommen.
Warum ist das wichtig?
HardwareDieserbildetPunkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch dietechnischestrukturierte Erfassung entsteht Transparenz und eine belastbare GrundlagevielerfürGeschäftsprozesse.Risikoanalyse,Alter, Standort, Garantie, ZustandMaßnahmenplanung undKritikalitätspätereder Geräte beeinflussen später die Risikoanalyse und die Maßnahmenplanung.Audits.
Software
Ziel
AlleERP,eingesetztenBuchhaltung,AnwendungenOffice, Branchensoftware, Datenbanken undBetriebssystemeSpezialanwendungenerfassen.werden erfasst. Wichtig sind Versionen, Lizenzen, Hersteller und Supportstatus.Zu erfassende InformationenBetriebssystemeOffice-AnwendungenBranchensoftwareERP-SystemeBuchhaltungssoftwareDatenbankenSicherheitssoftwareFernwartungssoftwareSpezialprogramme einzelner Abteilungen
Warum ist das wichtig?
SoftwareDieseristPunkthäufigsorgtengerdafür,mitdassGeschäftsprozessenEntscheidungenverbundennichtalsaufdieAnnahmenHardwareberuhen.selbst.GeradeBesondersinkritischkleinen Unternehmen sindAnwendungen,vieledieInformationen nicht dokumentiert, sondern nurvoneinzelnen Personenbetreutbekannt.werden,DurchaltedieVersionenstrukturierteverwendenErfassungoderentstehtnichtTransparenzmehrundgewarteteinewerden.belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.LizenzenCloud-DiensteZiel
AlleMicrosoftrelevanten365,Software-Hosting, Backupdienste, SaaS-Anwendungen undNutzungslizenzenPortaleerfassen.werden aufgenommen. Cloud-Dienste sind oft geschäftskritisch, aber schlecht dokumentiert.Zu erfassende InformationenLizenznehmerAnzahl der LizenzenLaufzeitenWartungsverträgeLizenzschlüsselAbonnementsKündigungsfristen
Warum ist das wichtig?
FehlendeDieseroderPunktunklaresorgtLizenzendafür,könnendassdenEntscheidungenBetriebnichtgefährden.aufBesondersAnnahmenbeiberuhen.Branchensoftware,GeradeDatenbankeninoderkleinenSicherheitslösungenUnternehmenkönnensindabgelaufenevieleWartungsverträgeInformationenzunichtSicherheits-dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz undBetriebsrisikeneineführen.belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.Benutzer-
VirtuelleundSystemeDienstkontenZiel
VirtuelleBenutzerkonten,ServerAdministratoren, Servicekonten undvirtuelleAPI-ZugängeInfrastrukturenwerdenerfassen.erfasst. Besonders Dienstkonten sind häufig unkontrollierte Risiken.Zu erfassende InformationenVirtuelle MaschinenHypervisorHostsClusterSnapshotsVirtuelle NetzwerkeStorage-Systeme
Warum ist das wichtig?
VirtuelleDieserSystemePunkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sindoftvielewenigerInformationensichtbarnichtalsdokumentiert,physischesondernServer.nurTrotzdemeinzelnenkönnenPersonensiebekannt.geschäftskritische Dienste bereitstellen. Besonders wichtig istDurch dieZuordnung,strukturierteaufErfassungwelcherentstehtPlattformTransparenzwelcheundvirtuelleeineMaschinebelastbarebetriebenGrundlagewird.für Risikoanalyse, Maßnahmenplanung und spätere Audits.Cloud-DiensteNetzwerkkomponentenZiel
AlleFirewall,genutztenRouter,Cloud-Switches, WLAN, VPN undSaaS-DiensteInternetanschlüsseerfassen.werden dokumentiert. Ohne Netzwerkübersicht sind Risiken und Abhängigkeiten kaum bewertbar.Zu erfassende InformationenMicrosoft 365Google WorkspaceCloud-SpeicherOnline-BuchhaltungCRM-SystemeWebshopsTicketsystemeHosting-PlattformenBackup-Dienste
Warum ist das wichtig?
Cloud-DiensteDieserwerdenPunkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen UnternehmenhäufigsindohnevielezentraleInformationenÜbersichtnichtgenutzt.dokumentiert,FürsonderndasnurISMSeinzelnenmussPersonenbekanntbekannt.sein,DurchwelchedieDatenstrukturiertedortErfassungverarbeitetentstehtwerden, wer Zugriff hatTransparenz undwieeinediebelastbareVerfügbarkeitGrundlageabgesichertfürist.Risikoanalyse, Maßnahmenplanung und spätere Audits.BenutzerkontenBackupsZiel
AlleBackupziele,BenutzerkontenAufbewahrung, Offline-Kopien undZugängeWiederherstellungswegeerfassen.gelten ebenfalls als Assets. Ein Backup ist nur wertvoll, wenn es wiederherstellbar ist.Zu erfassende InformationenActive-Directory-KontenMicrosoft-365-KontenLokale BenutzerkontenCloud-KontenAdministratorkontenGemeinsam genutzte KontenKonten ausgeschiedener Mitarbeitender
Warum ist das wichtig?
BenutzerkontenDieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sindeinervielederInformationenhäufigstennichtAngriffspunkte.dokumentiert,BesonderssondernkritischnursindeinzelnengemeinsamPersonengenutztebekannt.Konten,DurchaltedieKonten,strukturiertefehlendeErfassungMehr-Faktor-Authentifizierungentsteht Transparenz undunklareeineAdministratorrechte.belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.Verträge
Dienstkontenund LizenzenZiel
TechnischeWartungsverträge,KontenLizenznachweise,erfassen,SupportverträgedieundvonZugangsdatenDiensten,müssenSkriptenauffindbarodersein.AnwendungenFehlendegenutztVerträgewerden.erschweren Notfälle und Audits.Zu erfassende InformationenKontonameVerwendungszweckBerechtigungenPasswortablaufVerantwortlicherAbhängige Systeme
Warum ist das wichtig?
DienstkontenDieserbesitzenPunkthäufigsorgtweitreichendedafür,RechtedassundEntscheidungenwerdennichtseltenaufüberprüft.AnnahmenEinberuhen.falschGeradeberechtigtesinDienstkontokleinenkann ein erhebliches Sicherheitsrisiko darstellen.NetzwerkkomponentenZielAlle Komponenten erfassen, die für Netzwerkkommunikation und Internetzugang erforderlich sind.Zu erfassende InformationenRouterFirewallsSwitchesAccess PointsVPN-GatewaysModemsInternetanschlüsseNetzwerksegmente
Warum ist das wichtig?NetzwerkkomponentenUnternehmen sindzentrale Abhängigkeiten. Ein Ausfall der Firewall oder des Internetanschlusses kann den gesamten Betrieb beeinträchtigen.Mobile GeräteZielAlle mobilen Endgeräte erfassen, die Zugriff auf Unternehmensdaten haben.Zu erfassende InformationenNotebooksSmartphonesTabletsPrivate Geräte mit UnternehmenszugriffMobile Scanner oder Spezialgeräte
Warum ist das wichtig?Mobile Geräte verlassen regelmäßig die kontrollierte Unternehmensumgebung. Dadurch werden Verschlüsselung, Zugriffsschutz, Fernlöschung und klare Nutzungsregeln besonders wichtig.DatenträgerZielWechselmedien und transportable Datenträger erfassen.Zu erfassende InformationenUSB-SticksExterne FestplattenBackup-DatenträgerSpeicherkartenArchivmedien
Warum ist das wichtig?Datenträger können sensibleviele Informationenenthaltennichtunddokumentiert,leichtsondernverloren gehen. Besonders wichtig sind Verschlüsselung, Lagerung, Transport und Entsorgung.BackupsZielAlle Sicherungssysteme und Sicherungsdaten erfassen.Zu erfassende InformationenBackup-SoftwareBackup-Zielegesicherte SystemeSicherungsintervalleAufbewahrungszeitenOffline- oder Immutable-BackupsRestore-Tests
Warum ist das wichtig?Backups sind selbst ein besonders wichtiges Asset. Sie entscheiden im Notfall darüber, ob ein Unternehmen nach Datenverlust, Ransomware oder Hardwareausfall wieder arbeitsfähig wird.KommunikationssystemeZielAlle Systeme erfassen, die für interne oder externe Kommunikation verwendet werden.Zu erfassende InformationenE-Mail-SystemeTelefonanlagenVideokonferenzsystemeMessengerTicketsystemeFaxlösungenKundenportale
Warum ist das wichtig?Kommunikationssysteme sind für fast jedes Unternehmen geschäftskritisch. Besonders E-Mail ist häufig gleichzeitig Arbeitsmittel, Archiv, Kommunikationskanal und Angriffsziel.VerträgeZielVerträge erfassen, die für Betrieb, Verfügbarkeit oder Sicherheit relevant sind.Zu erfassende InformationenIT-DienstleistungsverträgeWartungsverträgeHostingverträgeCloud-VerträgeTelekommunikationsverträgeSoftwarepflegeverträgeAuftragsverarbeitungsverträge
Warum ist das wichtig?Verträge legen fest, welche Leistungen tatsächlich geschuldet sind. Gerade bei externen Dienstleistern ist wichtig zu prüfen, ob Reaktionszeiten, Verantwortlichkeiten und Sicherheitsanforderungen geregelt sind.DokumentationenZielVorhandene Dokumentationen als Asset erfassen.Zu erfassende InformationenNetzwerkpläneSystemdokumentationenPasswortdokumentationenNotfallhandbücherProzessbeschreibungenBetriebshandbücherInstallationsanleitungen
Warum ist das wichtig?Dokumentation ist selbst ein schützenswertes Asset. Ohne sie entstehen Abhängigkeiten vonnur einzelnen Personenoderbekannt.Dienstleistern.DurchGleichzeitigdiemussstrukturierteDokumentationErfassungvorentstehtunberechtigtemTransparenzZugriffundgeschützteinewerden.belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Gebäude und Räume
Ziel
RäumeServerräume,erfassen,Technikschränke,dieZutrittsmedienfürundInformationssicherheitSchlüsselrelevantwerdensind.erfasst. Physische Sicherheit ist Teil der Informationssicherheit.Zu erfassende InformationenServerraumTechnikräumeBürosArchivräumeLagerEmpfangsbereicheBesprechungsräume
Warum ist das wichtig?
InformationssicherheitDieserhatPunktauchsorgteinedafür,physischedassKomponente.EntscheidungenZutritt, Brandschutz, Klimatisierung, Wasserschutz und Stromversorgung können entscheidend für die Verfügbarkeit der IT sein.Schlüssel und ZutrittsmedienZielAlle physischen Zutrittsmittel erfassen.Zu erfassende InformationenSchlüsselTransponderZutrittskartenCodesAlarmanlagenzugängeSchlüsseltresore
Warum ist das wichtig?Wer physischen Zugriffnicht aufRäume,AnnahmenServerberuhen.oderGeradeAkteninhat,kleinenkannUnternehmenhäufigsindauchviele Informationenkompromittieren.nichtDeshalbdokumentiert,gehören Zutrittsmittel ebenfalls in die Asset-Betrachtung.UnternehmenswissenZiel
DurchWissen identifizieren, dassondern nurbeieinzelnen Personenvorhandenbekannt.ist.
ErfassungZudieerfassendestrukturierteInformationen- entsteht
Spezialwissen zu SoftwareKundenwissenProzesswissentechnisches BetriebswissenPasswort-Transparenz undZugangswisseneine informellebelastbareArbeitsabläufe
Warum ist das wichtig?In kleinen Unternehmen ist kritisches Wissen häufig nicht dokumentiert. Der Ausfall einzelner Personen kann dadurch erhebliche Auswirkungen auf den Geschäftsbetrieb haben.GeschäftsprozesseZielGeschäftsprozesse als schützenswerte Assets betrachten.Zu erfassende Informationenkritische Prozesseabhängige Systemeverantwortliche Personenbenötigte Informationenmaximal tolerierbare Ausfallzeitenmanuelle Ersatzverfahren
Warum ist das wichtig?Ein Geschäftsprozess ist oft wichtiger als ein einzelnes System. Wenn beispielsweise Rechnungsstellung, Versand oder Produktion ausfallen, ist nicht nur die IT betroffen, sondern direkt der Geschäftsbetrieb.Asset-VerantwortlicheFür wichtige Assets sollte ein Verantwortlicher benannt werden. Diese Person muss nicht technischGrundlage fürdasRisikoanalyse,Asset zuständig sein, sondern fachlich entscheiden können, wie wichtig das Asset für das Unternehmen ist.Beispiele:Die Buchhaltung ist fachlich verantwortlich für Buchhaltungsdaten.Der Vertrieb ist fachlich verantwortlich für Kundendaten im CRM.Die IT ist technisch verantwortlich für ServerMaßnahmenplanung undNetzwerke.spätere Die Geschäftsführung ist verantwortlich für strategische Unternehmensinformationen.
Diese Trennung zwischen fachlicher und technischer Verantwortung ist wichtig. Die IT kann Systeme betreiben, aber sie kann nicht allein entscheiden, welchen geschäftlichen Wert bestimmte Informationen besitzen.Audits.Erste SchutzbedarfsbetrachtungBereits während der Asset-Erfassung sollte eine erste grobe Einschätzung des Schutzbedarfs erfolgen.Dabei können die klassischen Schutzziele verwendet werden:Vertraulichkeit:Wer darf die Informationen sehen?Integrität:Wie kritisch wäre eine falsche oder manipulierte Information?Verfügbarkeit:Wie lange darf das Asset ausfallen?
Zu diesem Zeitpunkt genügt eine grobe Bewertung, beispielsweise niedrig, mittel oder hoch. Die detaillierte Bewertung erfolgt später in der Risikoanalyse.Beispiel für ein einfaches Asset-InventarAssetArtVerantwortlicherSchutzbedarfBemerkungFileserverServerIT-DienstleisterhochEnthält zentrale UnternehmensdatenBuchhaltungsdatenInformationBuchhaltunghochRechtlich und wirtschaftlich kritischMicrosoft 365Cloud-DienstGeschäftsführung / IThochE-Mail, Kalender und DokumenteTelefonanlageKommunikationVerwaltungmittelAusfall beeinträchtigt ErreichbarkeitERP-SystemAnwendungGeschäftsführunghochZentraler GeschäftsprozessDas Inventar kann zunächst einfach gehalten werden. Wichtig ist, dass es gepflegt und später erweitert werden kann.
Typische Feststellungen
BeiIn KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern derAsset-ErfassungAusgangspunkttretenfürhäufigdenähnlicheAufbauProblemeeinesauf:ISMS.Es existiert keine vollständige Geräteliste.Cloud-Dienste wurden ohne zentrale Freigabe eingeführt.Niemand kennt alle verwendeten Softwareprodukte.Dienstkonten sind nicht dokumentiert.Alte Benutzerkonten sind noch aktiv.Wichtige Informationen liegen nur auf einzelnen Arbeitsplätzen.Backups werden als vorhanden angenommen, aber nicht geprüft.Dokumentation existiert nur beim externen Dienstleister.Verträge und Lizenzen sind nicht zentral abgelegt.
Diese Feststellungen sind besonders wertvoll, weil sie direkt auf spätere Risiken hinweisen.
Hinweise für den IT-Berater
hat.Bei der Asset-Erfassung sollte nicht nur gefragt werden, welche Systeme offiziell vorhanden sind. Ebenso wichtigWichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen dieFrage,PhasewiefürtatsächlichdengearbeitetBetriebwird.
wichtig,TypischeTechnischehilfreicheDetailsFragensindsind:- sollten
Woaberspeichern Mitarbeitende wichtige Dateien wirklich?Welche Programme werden täglich verwendet?Welche Systeme dürfen auf keinen Fall ausfallen?Welche Zugänge kennt nur eine Person?Welche Daten wären bei Verlust besonders problematisch?Welche Cloud-Dienste wurden ohne IT-Freigabe eingerichtet?
Gerade in kleinen Unternehmen zeigen sich wichtige Assets oft erst im Gesprächimmer mitdenGeschäftsrisikenFachabteilungen.verbunden werden.
Praxistipp
kurzeBeginnenAmSieEndedasjederAsset-InventarPhasenichtsolltezueinekompliziert.EineZusammenfassungeinfacheerstelltTabellewerden: Was wurde erkannt, was istfürkritisch,denwasEinstiegistmeistoffenbesserund welche Entscheidung wird alseinnächstesumfangreiches Tool, das niemand pflegt.benötigt?Wichtiger als perfekte Struktur ist Vollständigkeit und Verständlichkeit. Das Inventar muss später von Geschäftsführung, IT und Fachabteilungen nachvollzogen werden können.
Ergebnis der Phase
Nach Abschluss dieserDie Phaseliegtisteinabgeschlossen,ersteswennAsset-Inventardievor.ErgebnisseDiesowichtigstendokumentiertInformationen,sind,Systeme,dassDienste,eineKonten,andereVerträgefachkundige Person die Ausgangslage nachvollziehen undGeschäftsprozesse sind bekannt und dokumentiert.Damit ist sichtbar, welche Werte des Unternehmens geschützt werden müssen. Auf dieser Grundlage kann inmit der nächsten Phasediefortfahrenkonkrete IT-Landschaft detailliert aufgenommen und mit den erfassten Assets verknüpft werden.kann.