Skip to main content

Phase 3 – IT-Landschaft erfassen

ManEin kannISMS schützt Werte – nicht nur schützen, was man kennt.Computer.

Einleitung

NachdemPhase das3 Unternehmen– Assets erfassen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die grundlegenden Anforderungen verstanden wurden, folgt nun die Erfassung der schützenswerten Werte. Diese Werte werden im ISMS als Assets bezeichnet.Geschäftsführung.

Ein häufiger Fehler besteht darin, bei Assets nur an Hardware zu denken. Server, PCs und Firewalls sind zwar wichtig, aber sie sind nur ein Teil des Gesamtbildes. Für ein Unternehmen sind oft Informationen, Geschäftsprozesse, Benutzerkonten, Verträge, Wissen oder Cloud-Dienste mindestens genauso wichtig.

Das Ziel dieser Phase ist daher, alle relevanten Werte des Unternehmens sichtbar zu machen. Erst wenn bekannt ist, welche Assets existieren, wem sie gehören und welche Bedeutung sie für den Geschäftsbetrieb haben, können Risiken sinnvoll bewertet werden.


Ziel der Phase

Das Ziel dieserist Phasees, bestehtdie darin,relevanten einInformationen vollständigesstrukturiert zu erfassen, verständlich zu dokumentieren und verständlichesals Asset-Inventar aufzubauen.

Nach Abschluss dieser Phase sollte bekannt sein,

  • welche Informationen besonders schützenswert sind,
  • welche Hardware und Software eingesetzt wird,
  • welche Cloud-Dienste und externen Systeme genutzt werden,
  • welche Benutzerkonten und Dienstkonten existieren,
  • welche Geschäftsprozesse von welchen Assets abhängig sind,
  • werGrundlage für einzelnedie Assetsnächsten verantwortlichSchritte ist,
  • nutzbar
  • undzu welche Assets später besonders betrachtet werden müssen.

Das Asset-Inventar ist eine der wichtigsten Grundlagen für Risikoanalyse, Notfallplanung, Dokumentation und technische Schutzmaßnahmen.machen.


Benötigte Teilnehmer

Für diese Phase sollten möglichst Personen beteiligt werden, die einen guten Überblick über die tatsächliche Arbeitsweise des Unternehmens haben.

  • Geschäftsführung oder IT-Entscheider
  • IT-VerantwortlicherInterner oder externer IT-DienstleisterVerantwortlicher
  • VerantwortlicheFachabteilungen ausnach den FachabteilungenBedarf
  • BuchhaltungDatenschutz oder Verwaltung
  • Datenschutzbeauftragter,Qualitätsmanagement, falls vorhanden
  • Verantwortliche für Lager, Produktion oder Außendienst, falls relevant

Gerade bei kleinen Unternehmen reicht die IT-Sicht allein häufig nicht aus. Viele wichtige Informationen befinden sich in Fachabteilungen, auf einzelnen Arbeitsplätzen oder in gewachsenen Abläufen.


Arbeitsergebnisse der Phase

Nach

    Abschluss dieser Phase sollten mindestens folgende
  • Dokumentierte Ergebnisse vorliegen:

    • Asset-Inventar
    • Liste wichtiger Informationsbestände
    • Liste geschäftskritischer Anwendungen
    • Übersicht der Hardware
    • Übersicht der Software und Lizenzen
    • Übersicht der Cloud-Dienste
    • Übersicht der Benutzerkonten und Dienstkonten
    • Zuordnung von Asset-Verantwortlichen
    • Erste Einschätzung des SchutzbedarfsBestandsaufnahme
    • Offene Fragen und Risiken
    • Erste Prioritäten für spätere Maßnahmen
    • Grundlage für die technischenächste BestandsaufnahmePhase

    Das Asset-Inventar muss zu Beginn nicht perfekt sein. Es sollte jedoch so vollständig sein, dass die wichtigsten Werte des Unternehmens bekannt sind.


    Warum ist diese Phase wichtig?

    Ohne Asset-Inventar bleibt Informationssicherheit unscharf.

    Wenn nicht bekannt ist, welche Daten, Systeme, Konten und Dienste existieren, können Risiken nicht sauber bewertet werden. Ebenso können keine sinnvollen Prioritäten gesetzt werden.

    Ein kleines Unternehmen kann beispielsweise nur einen Server besitzen, aber auf diesem Server liegen Buchhaltung, Warenwirtschaft, Kundendaten, Verträge und zentrale Freigaben. Technisch ist es nur ein System. Aus Sicht des Unternehmens kann es jedoch der zentrale Betriebsmittelpunkt sein.

    Diese Phase sorgt dafür, dass solche Zusammenhänge sichtbar werden.


    Checkliste

    Informationen

    Ziel

    AlleKundendaten, wichtigenPersonaldaten, InformationsbeständeVerträge, desAngebote, UnternehmensE-Mails, erfassen.

    Konstruktionsdaten

    Zuund erfassendeKalkulationen werden erfasst. Informationen sind oft das wichtigste Asset.

    • Kundendaten
    • Personaldaten
    • Vertragsdaten
    • Buchhaltungsdaten
    • Technische Dokumentationen
    • Konstruktionsdaten
    • Projektunterlagen
    • Zugangsdaten
    • Geschäftsgeheimnisse

    Warum ist das wichtig?

    InformationenDieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind häufigviele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die eigentlichenstrukturierte WerteErfassung einesentsteht Unternehmens.Transparenz Derund Verlusteine oderbelastbare dieGrundlage Offenlegungfür dieserRisikoanalyse, InformationenMaßnahmenplanung kannund rechtliche,spätere wirtschaftliche oder reputationsbezogene Schäden verursachen.Audits.


    Hardware

    Ziel

    AlleServer, physischenPCs, IT-Notebooks, Drucker, Netzwerkgeräte, mobile Geräte erfassen.

    Zu erfassende Informationen

    • Server
    • PCs
    • Notebooks
    • Firewalls
    • Router
    • Switches
    • Access Points
    • Drucker und Multifunktionsgeräte
    • Datenträger
    • NAS-Systeme
    • werden
    • USV-Anlagen
    • aufgenommen.
    Alter, Garantie und Kritikalität sollten dokumentiert werden.

    Warum ist das wichtig?

    HardwareDieser bildetPunkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die technischestrukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage vielerfür Geschäftsprozesse.Risikoanalyse, Alter, Standort, Garantie, ZustandMaßnahmenplanung und Kritikalitätspätere der Geräte beeinflussen später die Risikoanalyse und die Maßnahmenplanung.Audits.


    Software

    Ziel

    AlleERP, eingesetztenBuchhaltung, AnwendungenOffice, Branchensoftware, Datenbanken und BetriebssystemeSpezialanwendungen erfassen.werden erfasst. Wichtig sind Versionen, Lizenzen, Hersteller und Supportstatus.

    Zu erfassende Informationen

    • Betriebssysteme
    • Office-Anwendungen
    • Branchensoftware
    • ERP-Systeme
    • Buchhaltungssoftware
    • Datenbanken
    • Sicherheitssoftware
    • Fernwartungssoftware
    • Spezialprogramme einzelner Abteilungen

    Warum ist das wichtig?

    SoftwareDieser istPunkt häufigsorgt engerdafür, mitdass GeschäftsprozessenEntscheidungen verbundennicht alsauf dieAnnahmen Hardwareberuhen. selbst.Gerade Besondersin kritischkleinen Unternehmen sind Anwendungen,viele dieInformationen nicht dokumentiert, sondern nur von einzelnen Personen betreutbekannt. werden,Durch altedie Versionenstrukturierte verwendenErfassung oderentsteht nichtTransparenz mehrund gewarteteine werden.belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.


    LizenzenCloud-Dienste

    Ziel

    AlleMicrosoft relevanten365, Software-Hosting, Backupdienste, SaaS-Anwendungen und NutzungslizenzenPortale erfassen.werden aufgenommen. Cloud-Dienste sind oft geschäftskritisch, aber schlecht dokumentiert.

    Zu erfassende Informationen

    • Lizenznehmer
    • Anzahl der Lizenzen
    • Laufzeiten
    • Wartungsverträge
    • Lizenzschlüssel
    • Abonnements
    • Kündigungsfristen

    Warum ist das wichtig?

    FehlendeDieser oderPunkt unklaresorgt Lizenzendafür, könnendass denEntscheidungen Betriebnicht gefährden.auf BesondersAnnahmen beiberuhen. Branchensoftware,Gerade Datenbankenin oderkleinen SicherheitslösungenUnternehmen könnensind abgelaufeneviele WartungsverträgeInformationen zunicht Sicherheits-dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und Betriebsrisikeneine führen.belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.


    Benutzer-

    Virtuelleund SystemeDienstkonten

    Ziel

    VirtuelleBenutzerkonten, ServerAdministratoren, Servicekonten und virtuelleAPI-Zugänge Infrastrukturenwerden erfassen.erfasst. Besonders Dienstkonten sind häufig unkontrollierte Risiken.

    Zu erfassende Informationen

    • Virtuelle Maschinen
    • Hypervisor
    • Hosts
    • Cluster
    • Snapshots
    • Virtuelle Netzwerke
    • Storage-Systeme

    Warum ist das wichtig?

    VirtuelleDieser SystemePunkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind oftviele wenigerInformationen sichtbarnicht alsdokumentiert, physischesondern Server.nur Trotzdemeinzelnen könnenPersonen siebekannt. geschäftskritische Dienste bereitstellen. Besonders wichtig istDurch die Zuordnung,strukturierte aufErfassung welcherentsteht PlattformTransparenz welcheund virtuelleeine Maschinebelastbare betriebenGrundlage wird.für Risikoanalyse, Maßnahmenplanung und spätere Audits.


    Cloud-DiensteNetzwerkkomponenten

    Ziel

    AlleFirewall, genutztenRouter, Cloud-Switches, WLAN, VPN und SaaS-DiensteInternetanschlüsse erfassen.werden dokumentiert. Ohne Netzwerkübersicht sind Risiken und Abhängigkeiten kaum bewertbar.

    Zu erfassende Informationen

    • Microsoft 365
    • Google Workspace
    • Cloud-Speicher
    • Online-Buchhaltung
    • CRM-Systeme
    • Webshops
    • Ticketsysteme
    • Hosting-Plattformen
    • Backup-Dienste

    Warum ist das wichtig?

    Cloud-DiensteDieser werdenPunkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen häufigsind ohneviele zentraleInformationen Übersichtnicht genutzt.dokumentiert, Fürsondern dasnur ISMSeinzelnen mussPersonen bekanntbekannt. sein,Durch welchedie Datenstrukturierte dortErfassung verarbeitetentsteht werden, wer Zugriff hatTransparenz und wieeine diebelastbare VerfügbarkeitGrundlage abgesichertfür ist.Risikoanalyse, Maßnahmenplanung und spätere Audits.


    BenutzerkontenBackups

    Ziel

    AlleBackupziele, BenutzerkontenAufbewahrung, Offline-Kopien und ZugängeWiederherstellungswege erfassen.gelten ebenfalls als Assets. Ein Backup ist nur wertvoll, wenn es wiederherstellbar ist.

    Zu erfassende Informationen

    • Active-Directory-Konten
    • Microsoft-365-Konten
    • Lokale Benutzerkonten
    • Cloud-Konten
    • Administratorkonten
    • Gemeinsam genutzte Konten
    • Konten ausgeschiedener Mitarbeitender

    Warum ist das wichtig?

    BenutzerkontenDieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind einerviele derInformationen häufigstennicht Angriffspunkte.dokumentiert, Besonderssondern kritischnur sindeinzelnen gemeinsamPersonen genutztebekannt. Konten,Durch altedie Konten,strukturierte fehlendeErfassung Mehr-Faktor-Authentifizierungentsteht Transparenz und unklareeine Administratorrechte.belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.


    Verträge

    Dienstkontenund Lizenzen

    Ziel

    TechnischeWartungsverträge, KontenLizenznachweise, erfassen,Supportverträge dieund vonZugangsdaten Diensten,müssen Skriptenauffindbar odersein. AnwendungenFehlende genutztVerträge werden.erschweren Notfälle und Audits.

    Zu erfassende Informationen

    • Kontoname
    • Verwendungszweck
    • Berechtigungen
    • Passwortablauf
    • Verantwortlicher
    • Abhängige Systeme

    Warum ist das wichtig?

    DienstkontenDieser besitzenPunkt häufigsorgt weitreichendedafür, Rechtedass undEntscheidungen werdennicht seltenauf überprüft.Annahmen Einberuhen. falschGerade berechtigtesin Dienstkontokleinen kann ein erhebliches Sicherheitsrisiko darstellen.


    Netzwerkkomponenten

    Ziel

    Alle Komponenten erfassen, die für Netzwerkkommunikation und Internetzugang erforderlich sind.

    Zu erfassende Informationen

    • Router
    • Firewalls
    • Switches
    • Access Points
    • VPN-Gateways
    • Modems
    • Internetanschlüsse
    • Netzwerksegmente

    Warum ist das wichtig?

    NetzwerkkomponentenUnternehmen sind zentrale Abhängigkeiten. Ein Ausfall der Firewall oder des Internetanschlusses kann den gesamten Betrieb beeinträchtigen.


    Mobile Geräte

    Ziel

    Alle mobilen Endgeräte erfassen, die Zugriff auf Unternehmensdaten haben.

    Zu erfassende Informationen

    • Notebooks
    • Smartphones
    • Tablets
    • Private Geräte mit Unternehmenszugriff
    • Mobile Scanner oder Spezialgeräte

    Warum ist das wichtig?

    Mobile Geräte verlassen regelmäßig die kontrollierte Unternehmensumgebung. Dadurch werden Verschlüsselung, Zugriffsschutz, Fernlöschung und klare Nutzungsregeln besonders wichtig.


    Datenträger

    Ziel

    Wechselmedien und transportable Datenträger erfassen.

    Zu erfassende Informationen

    • USB-Sticks
    • Externe Festplatten
    • Backup-Datenträger
    • Speicherkarten
    • Archivmedien

    Warum ist das wichtig?

    Datenträger können sensibleviele Informationen enthaltennicht unddokumentiert, leichtsondern verloren gehen. Besonders wichtig sind Verschlüsselung, Lagerung, Transport und Entsorgung.


    Backups

    Ziel

    Alle Sicherungssysteme und Sicherungsdaten erfassen.

    Zu erfassende Informationen

    • Backup-Software
    • Backup-Ziele
    • gesicherte Systeme
    • Sicherungsintervalle
    • Aufbewahrungszeiten
    • Offline- oder Immutable-Backups
    • Restore-Tests

    Warum ist das wichtig?

    Backups sind selbst ein besonders wichtiges Asset. Sie entscheiden im Notfall darüber, ob ein Unternehmen nach Datenverlust, Ransomware oder Hardwareausfall wieder arbeitsfähig wird.


    Kommunikationssysteme

    Ziel

    Alle Systeme erfassen, die für interne oder externe Kommunikation verwendet werden.

    Zu erfassende Informationen

    • E-Mail-Systeme
    • Telefonanlagen
    • Videokonferenzsysteme
    • Messenger
    • Ticketsysteme
    • Faxlösungen
    • Kundenportale

    Warum ist das wichtig?

    Kommunikationssysteme sind für fast jedes Unternehmen geschäftskritisch. Besonders E-Mail ist häufig gleichzeitig Arbeitsmittel, Archiv, Kommunikationskanal und Angriffsziel.


    Verträge

    Ziel

    Verträge erfassen, die für Betrieb, Verfügbarkeit oder Sicherheit relevant sind.

    Zu erfassende Informationen

    • IT-Dienstleistungsverträge
    • Wartungsverträge
    • Hostingverträge
    • Cloud-Verträge
    • Telekommunikationsverträge
    • Softwarepflegeverträge
    • Auftragsverarbeitungsverträge

    Warum ist das wichtig?

    Verträge legen fest, welche Leistungen tatsächlich geschuldet sind. Gerade bei externen Dienstleistern ist wichtig zu prüfen, ob Reaktionszeiten, Verantwortlichkeiten und Sicherheitsanforderungen geregelt sind.


    Dokumentationen

    Ziel

    Vorhandene Dokumentationen als Asset erfassen.

    Zu erfassende Informationen

    • Netzwerkpläne
    • Systemdokumentationen
    • Passwortdokumentationen
    • Notfallhandbücher
    • Prozessbeschreibungen
    • Betriebshandbücher
    • Installationsanleitungen

    Warum ist das wichtig?

    Dokumentation ist selbst ein schützenswertes Asset. Ohne sie entstehen Abhängigkeiten vonnur einzelnen Personen oderbekannt. Dienstleistern.Durch Gleichzeitigdie mussstrukturierte DokumentationErfassung vorentsteht unberechtigtemTransparenz Zugriffund geschützteine werden.belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.


    Gebäude und Räume

    Ziel

    RäumeServerräume, erfassen,Technikschränke, dieZutrittsmedien fürund InformationssicherheitSchlüssel relevantwerden sind.erfasst. Physische Sicherheit ist Teil der Informationssicherheit.

    Zu erfassende Informationen

    • Serverraum
    • Technikräume
    • Büros
    • Archivräume
    • Lager
    • Empfangsbereiche
    • Besprechungsräume

    Warum ist das wichtig?

    InformationssicherheitDieser hatPunkt auchsorgt einedafür, physischedass Komponente.Entscheidungen Zutritt, Brandschutz, Klimatisierung, Wasserschutz und Stromversorgung können entscheidend für die Verfügbarkeit der IT sein.


    Schlüssel und Zutrittsmedien

    Ziel

    Alle physischen Zutrittsmittel erfassen.

    Zu erfassende Informationen

    • Schlüssel
    • Transponder
    • Zutrittskarten
    • Codes
    • Alarmanlagenzugänge
    • Schlüsseltresore

    Warum ist das wichtig?

    Wer physischen Zugriffnicht auf Räume,Annahmen Serverberuhen. oderGerade Aktenin hat,kleinen kannUnternehmen häufigsind auchviele Informationen kompromittieren.nicht Deshalbdokumentiert, gehören Zutrittsmittel ebenfalls in die Asset-Betrachtung.


    Unternehmenswissen

    Ziel

    Wissen identifizieren, dassondern nur bei einzelnen Personen vorhandenbekannt. ist.

    Durch

    Zudie erfassendestrukturierte Informationen

    Erfassung
      entsteht
    • Spezialwissen zu Software
    • Kundenwissen
    • Prozesswissen
    • technisches Betriebswissen
    • Passwort-Transparenz und Zugangswissen
    • eine
    • informellebelastbare Arbeitsabläufe

    Warum ist das wichtig?

    In kleinen Unternehmen ist kritisches Wissen häufig nicht dokumentiert. Der Ausfall einzelner Personen kann dadurch erhebliche Auswirkungen auf den Geschäftsbetrieb haben.


    Geschäftsprozesse

    Ziel

    Geschäftsprozesse als schützenswerte Assets betrachten.

    Zu erfassende Informationen

    • kritische Prozesse
    • abhängige Systeme
    • verantwortliche Personen
    • benötigte Informationen
    • maximal tolerierbare Ausfallzeiten
    • manuelle Ersatzverfahren

    Warum ist das wichtig?

    Ein Geschäftsprozess ist oft wichtiger als ein einzelnes System. Wenn beispielsweise Rechnungsstellung, Versand oder Produktion ausfallen, ist nicht nur die IT betroffen, sondern direkt der Geschäftsbetrieb.


    Asset-Verantwortliche

    Für wichtige Assets sollte ein Verantwortlicher benannt werden. Diese Person muss nicht technischGrundlage für dasRisikoanalyse, Asset zuständig sein, sondern fachlich entscheiden können, wie wichtig das Asset für das Unternehmen ist.

    Beispiele:

    • Die Buchhaltung ist fachlich verantwortlich für Buchhaltungsdaten.
    • Der Vertrieb ist fachlich verantwortlich für Kundendaten im CRM.
    • Die IT ist technisch verantwortlich für ServerMaßnahmenplanung und Netzwerke.
    • spätere
    • Die Geschäftsführung ist verantwortlich für strategische Unternehmensinformationen.

    Diese Trennung zwischen fachlicher und technischer Verantwortung ist wichtig. Die IT kann Systeme betreiben, aber sie kann nicht allein entscheiden, welchen geschäftlichen Wert bestimmte Informationen besitzen.Audits.


    Erste Schutzbedarfsbetrachtung

    Bereits während der Asset-Erfassung sollte eine erste grobe Einschätzung des Schutzbedarfs erfolgen.

    Dabei können die klassischen Schutzziele verwendet werden:

    • Vertraulichkeit: Wer darf die Informationen sehen?
    • Integrität: Wie kritisch wäre eine falsche oder manipulierte Information?
    • Verfügbarkeit: Wie lange darf das Asset ausfallen?

    Zu diesem Zeitpunkt genügt eine grobe Bewertung, beispielsweise niedrig, mittel oder hoch. Die detaillierte Bewertung erfolgt später in der Risikoanalyse.


    Beispiel für ein einfaches Asset-Inventar

    AssetArtVerantwortlicherSchutzbedarfBemerkung
    FileserverServerIT-DienstleisterhochEnthält zentrale Unternehmensdaten
    BuchhaltungsdatenInformationBuchhaltunghochRechtlich und wirtschaftlich kritisch
    Microsoft 365Cloud-DienstGeschäftsführung / IThochE-Mail, Kalender und Dokumente
    TelefonanlageKommunikationVerwaltungmittelAusfall beeinträchtigt Erreichbarkeit
    ERP-SystemAnwendungGeschäftsführunghochZentraler Geschäftsprozess

    Das Inventar kann zunächst einfach gehalten werden. Wichtig ist, dass es gepflegt und später erweitert werden kann.


    Typische Feststellungen

    BeiIn KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Asset-ErfassungAusgangspunkt tretenfür häufigden ähnlicheAufbau Problemeeines auf:ISMS.

    • Es existiert keine vollständige Geräteliste.
    • Cloud-Dienste wurden ohne zentrale Freigabe eingeführt.
    • Niemand kennt alle verwendeten Softwareprodukte.
    • Dienstkonten sind nicht dokumentiert.
    • Alte Benutzerkonten sind noch aktiv.
    • Wichtige Informationen liegen nur auf einzelnen Arbeitsplätzen.
    • Backups werden als vorhanden angenommen, aber nicht geprüft.
    • Dokumentation existiert nur beim externen Dienstleister.
    • Verträge und Lizenzen sind nicht zentral abgelegt.

    Diese Feststellungen sind besonders wertvoll, weil sie direkt auf spätere Risiken hinweisen.


    Hinweise für den IT-Berater

    Bei der Asset-Erfassung sollte nicht nur gefragt werden, welche Systeme offiziell vorhanden sind. Ebenso wichtigWichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Frage,Phase wiefür tatsächlichden gearbeitetBetrieb wird.

    hat.

    TypischeTechnische hilfreicheDetails Fragensind sind:

    wichtig,
      sollten
    • Woaber speichern Mitarbeitende wichtige Dateien wirklich?
    • Welche Programme werden täglich verwendet?
    • Welche Systeme dürfen auf keinen Fall ausfallen?
    • Welche Zugänge kennt nur eine Person?
    • Welche Daten wären bei Verlust besonders problematisch?
    • Welche Cloud-Dienste wurden ohne IT-Freigabe eingerichtet?

    Gerade in kleinen Unternehmen zeigen sich wichtige Assets oft erst im Gesprächimmer mit denGeschäftsrisiken Fachabteilungen.verbunden werden.


    Praxistipp

    BeginnenAm SieEnde dasjeder Asset-InventarPhase nichtsollte zueine kompliziert.

    kurze

    EineZusammenfassung einfacheerstellt Tabellewerden: Was wurde erkannt, was ist fürkritisch, denwas Einstiegist meistoffen besserund welche Entscheidung wird als einnächstes umfangreiches Tool, das niemand pflegt.benötigt?

    Wichtiger als perfekte Struktur ist Vollständigkeit und Verständlichkeit. Das Inventar muss später von Geschäftsführung, IT und Fachabteilungen nachvollzogen werden können.


    Ergebnis der Phase

    Nach Abschluss dieserDie Phase liegtist einabgeschlossen, ersteswenn Asset-Inventardie vor.Ergebnisse Dieso wichtigstendokumentiert Informationen,sind, Systeme,dass Dienste,eine Konten,andere Verträgefachkundige Person die Ausgangslage nachvollziehen und Geschäftsprozesse sind bekannt und dokumentiert.

    Damit ist sichtbar, welche Werte des Unternehmens geschützt werden müssen. Auf dieser Grundlage kann inmit der nächsten Phase diefortfahren konkrete IT-Landschaft detailliert aufgenommen und mit den erfassten Assets verknüpft werden.kann.