ISMS (ISO 27001) und Asset Management: Eine untrennbare Partnerschaft

Wenn Unternehmen den Entschluss fassen, ihre Informationssicherheit auf ein professionelles, international anerkanntes Niveau zu heben, fällt die Wahl fast immer auf die Norm ISO/IEC 27001. Die Etablierung eines Informationssicherheitsmanagementsystems (ISMS) nach diesem Standard ist für viele Organisationen heute nicht nur eine Frage der internen Qualitätssicherung, sondern oft eine harte Voraussetzung in Ausschreibungen und Lieferantenverträgen (Supply Chain Security).

Die Vorbereitung auf eine ISO 27001-Zertifizierung ist ein tiefgreifender Prozess, der sich mit Risikomanagement, Kryptografie, physischer Sicherheit und Personalschulungen beschäftigt. Doch wer die Norm genau liest – insbesondere den Anhang A (Annex A), der einen normativen Referenzkatalog der möglichen Sicherheitsmaßnahmen enthält –, stößt auf eine fundamentale Anforderung, an der erstaunlich viele Projekte im Vorfeld scheitern: Das Asset Management.

In diesem Beitrag beleuchten wir, warum die ISO 27001 und ein lückenloses, automatisiertes IT-Asset-Management eine untrennbare Partnerschaft bilden und warum Sie ohne Letzteres niemals ein wirksames Risikomanagement betreiben können.

Die Philosophie der ISO 27001: Risikobasiertes Handeln

Um den Stellenwert des Asset Managements in der ISO-Norm zu verstehen, muss man ihre Grundphilosophie kennen. Die ISO 27001 schreibt nicht pauschal vor, dass jedes Unternehmen eine sündhaft teure High-End-Firewall betreiben muss. Sie verfolgt vielmehr einen risikobasierten Ansatz.

Das bedeutet: Das Unternehmen muss seine schützenswerten Werte identifizieren, die potenziellen Bedrohungen für diese Werte analysieren und dann angemessene Maßnahmen ergreifen, um diese Risiken auf ein akzeptables Maß zu senken.

Hier beißt sich die Katze in den Schwanz: Wie wollen Sie eine Risikobewertung durchführen, wenn Sie gar nicht wissen, welche Werte (Assets) Ihr Unternehmen überhaupt besitzt?

Anhang A: Die unmissverständliche Forderung nach dem Inventar

In der Struktur der ISO 27001 (sowohl in der Version 2013 als auch im stark überarbeiteten Update 2022) ist dem Umgang mit Werten ein zentraler Bereich gewidmet. Die Norm fordert unmissverständlich:

• Inventarisierung von Werten: Alle Werte, die mit Informationen und informationsverarbeitenden Einrichtungen verbunden sind, müssen identifiziert und in einem Inventar erfasst und gepflegt werden.
• Verantwortlichkeit für Werte (Ownership): Für jeden Wert im Inventar muss ein Eigentümer (Asset Owner) benannt werden.
• Zulässiger Gebrauch: Es müssen Regeln für den zulässigen Gebrauch der Assets dokumentiert werden.

Die Prüfer verlangen ein detailliertes Register, das Hardware (Server, Laptops, IoT-Geräte), Software (Applikationen, Cloud-Dienste, Datenbanken) und reine Informationen (z. B. Kundendatenbanken) umfasst.

Das Scheitern manueller Asset-Register im Audit

Wenn Unternehmen ein ISMS aufbauen, versuchen sie die Forderung nach dem “Asset-Register” oft mit Bordmitteln zu erschlagen. Es werden riesige Excel-Tabellen angelegt, die in den ersten Wochen des Projekts mühsam von allen Abteilungsleitern befüllt werden.

Für das Initial-Audit mag dieses Excel-Konstrukt manchmal sogar ausreichen. Doch die ISO 27001 fordert eine fortlaufende Verbesserung (“Continual Improvement”, Klausel 10.2). Spätestens beim ersten Überwachungsaudit, das innerhalb von 12 Monaten nach Zertifikatserteilung stattfindet, stürzt das Kartenhaus ein. Die Prüfer stellen fest:

1. Die Liste wurde seit Monaten nicht mehr aktualisiert.
2. Es gibt Cloud-Instanzen, die zwar laufen, aber keinen dokumentierten “Asset Owner” in der Liste haben.
3. Veraltete Systeme, die längst abgeschaltet wurden, werden im Risikomanagement immer noch mitgeführt.

Das Ergebnis ist eine schwerwiegende Abweichung im Audit. Ein ISMS, das auf veralteten Asset-Daten aufbaut, produziert falsche Risikobewertungen und ist damit in seinem Kern funktionsunfähig.

Der Brückenschlag: Automatisierung des Fundaments

Die einzige nachhaltige Möglichkeit, die strengen Asset-Management-Vorgaben der ISO 27001 dauerhaft und stressfrei zu erfüllen, ist die radikale Automatisierung. Genau hier kommt die Synergie mit modernen Plattformen wie Qbilon ins Spiel.

1. Das lebende InventarAnstatt Daten manuell einzutragen, erzeugt eine automatisierte CMDB das Asset-Inventar kontinuierlich selbst. Durch die API-Schnittstellen in die IT-Infrastruktur werden Veränderungen sofort erfasst. Der ISO-Auditor sieht keine tote Tabelle, sondern ein echtes Abbild der Realität in Echtzeit.
2. Nachvollziehbarkeit von OwnershipDie Norm pocht auf Verantwortlichkeiten. Wer ist schuld, wenn der Server ungepatcht bleibt? In einer automatisierten Plattform lassen sich Assets durch Regeln (Tagging in Cloud-Umgebungen, Active-Directory-Gruppen) automatisch den korrekten Fachabteilungen und Asset-Ownern zuweisen. So gibt es keine herrenlosen Systeme mehr.
3. Risikokontext automatisierenEine moderne CMDB kartografiert Abhängigkeiten. Das System weiß, dass ein bestimmter Webserver mit der Datenbank verbunden ist, in der Kundendaten (hoher Schutzbedarf) liegen. Dieser Kontext ist für das ISMS-Team von unschätzbarem Wert, da er eine sofortige, datenbasierte Risikopriorisierung ermöglicht, ohne dass Administratoren manuell Netzpläne studieren müssen.

Fazit: Das ISMS braucht verlässliche Daten

Die ISO 27001 ist kein IT-Projekt, sondern ein Management-Projekt. Doch das Management kann nur steuern, lenken und Risiken bewerten, wenn es sich auf verlässliche Daten stützen kann.

Versuchen Sie nicht, ein anspruchsvolles Informationssicherheitsmanagementsystem auf einem bröckelnden Fundament aus manuellen Tabellenkalkulationen aufzubauen. Ein lückenloses, automatisiertes und historisiertes IT-Asset-Management ist der Motor, der Ihr ISMS am Leben hält, Ihre Audits vereinfacht und letztlich die Sicherheit Ihres Unternehmens signifikant und dauerhaft erhöht.