Phase 4 – Assets identifizieren
„Jetzt wird sichtbar, wie die IT das Unternehmen tatsächlich trägt.“
Einleitung
Phase 4 – IT-Landschaft aufnehmen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Server und Dienste
Ziel
Physische Server, virtuelle Maschinen, Rollen, Betriebssysteme und Dienste werden dokumentiert. Beispiele sind AD, Fileserver, Datenbanken, RDS oder Backupserver.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Clients
Ziel
PCs, Notebooks, Betriebssystemversionen, lokale Administratoren und Gerätezustand werden aufgenommen. Einheitliche Standards reduzieren Support- und Sicherheitsrisiken.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Active Directory und Identitäten
Ziel
Domänenstruktur, Gruppen, GPOs, Administratoren, Passwortregeln und Anmeldewege werden analysiert. Identitäten sind ein zentraler Angriffspunkt.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Netzwerk
Ziel
IP-Netze, VLANs, Firewallregeln, VPN, WLAN und Internetanschlüsse werden erfasst. Ziel ist ein nachvollziehbarer technischer Überblick.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Cloud und E-Mail
Ziel
Microsoft 365, Exchange, Mailrouting, SPF, DKIM, DMARC, OneDrive, SharePoint und andere Dienste werden betrachtet. E-Mail ist häufig der wichtigste Angriffsweg.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Fernwartung
Ziel
RMM, VPN, Remote Desktop, TeamViewer, AnyDesk oder andere Zugänge werden dokumentiert. Externe Zugänge benötigen klare Regeln und Protokollierung.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Drucker und Peripherie
Ziel
Drucker, Scanner, MFPs und Spezialgeräte werden aufgenommen. Diese Geräte werden oft vergessen, besitzen aber Netzwerkzugriff und gespeicherte Daten.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Technische Abhängigkeiten
Ziel
Abhängigkeiten zwischen Systemen werden sichtbar gemacht. Beispiele: ERP benötigt SQL-Server, VPN benötigt Firewall, Anmeldung benötigt Domain Controller.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.