Die Verbindung heisst "Asset"

Was ist ein Asset?

Asset bedeutet wörtlich übersetzt "Vermögenswert" im Sinne von "Anlagevermögen".
Im Kontext der Information Security betrifft dies u.a.

  • Informationen in Form von Dokumenten, Datenbanken, Dateien, etc.
  • Software
  • Hardware wie PCs, Server, Netzwerkkomponenten, Telefone, etc.
  • Medien und Datenträger
  • Services
  • Personal und dessen Wissen
  • immaterielle Assets wie z.B. das Image und Ansehen des Unternehmens
  • und vieles mehr

"Wir können nicht schützen was wir nicht kennen."

Einer der wichtigsten Schritte im IT-Management und in der IT-Sicherheit ist das Verständnis, welche physischen und virtuelle, welche materielle und immaterielle IT-Ressourcen ein Unternehmen besitzt und wie diese eingesetzt werden.

Im ersten Schritt handelt es sich um eine Bestandsaufnahme aller Assets.

Neben der Auflistung der Bestände sollten auch individuelle Eigenschaften aufgenommen und dokumentiert werden.
Zum Beispiel:

  • Wer benutzt das Asset, Wer ist dafür verantwortlich/verwaltet/wartet es. User, Owner, Administrator
  • Wie wichtig ist das Asset für den Betrieb. Dies ist wichtig für die Feststellung des Schutzbedarfs und bei der Risikoanalyse.
  • Was ist das Asset, worum handelt es sich dabei genau (z.B. PC, Server, Switch, Mobiltelefon, Datenträger, Daten in einer Datenbank, etc.), evtl. aus Welchen Elementen besteht es (z.B. Harddisks in einem Server, Betriebssystem, Firmware Version, etc.)
  • Wo befindet sich das Asset (z.B. Raumnummer, Kasten, Schublade, Tresor, Harddisks in welchem Server, etc., evtl. IP-Adresse)
  • Wann wurde das Asset gekauft/ausgegeben/bearbeitet/eingezogen/vernichtet, etc.

Für die Verwendung von Assets sollen gewisse Regeln festgelegt werden.
Üblicherweise liegen diese in Form von Handbüchern und Richtlinien vor.

Aktualität

So wie man bei einer Inventur nur den Zustand zu einem bestimmten Zeitpunkt kennt, so ist das auch hier der Fall.
Deshalb müssen diese "Bestandslisten" aktuell gehalten werden.

Für eine solche, laufende Inventarisierung gibt es einige Tools mit unterschiedlichem Funktionsumfang und Komplexität.
Bei entsprechender Konfiguration werden Änderungen automatisch gemeldet und dokumentiert.
Ein zusätzlicher Effekt solch automatisierter Netzwerkscans ist daß diese helfen können Elemente von Schatten-IT aufzufinden.

Beispielansicht eines Inventory-Tools

Kategorisierung und Klassifizierung

Als weitere Schritte werden dann Kategorisierung und Klassifizierung durchgeführt.

Kategorien hinsichtlich Komponenten-Type können sein:

  • Hardware
  • Netzwerkkomponente
  • Software
  • Lizenzen
  • Infrastruktur
  • Informationssystem
  • Anwendung
  • Daten
  • etc.

Bei der Klassifizierung hinsichtlich Schutzbedarf (Verfügbarkeit, Integrität, Vertraulichkeit) können Kategorien definiert werden wie etwa

  • Top Secret
  • Secret
  • Confidential
  • Restricted
  • Public

oder

  • niedrig - Ein möglicher Schaden hätte keine Auswirkungen.
  • mittel - Ein möglicher Schaden nur begrenzte und überschaubare Auswirkungen.
  • hoch - Ein möglicher Schaden hätte beträchtliche Auswirkungen.
  • sehr hoch - Ein möglicher Schaden hätte katastrophale Auswirkungen.

oder

  • 1 – critical is always available and protected
  • 2 – very important this asset is available and protected
  • 3 – important if this asset is available and protected
  • 4 – good if this asset is available with minimal protection

 

Hier ein Beispiel wie im BSI-Grundschutz-Tool der Schutzbedarf der Anwendung Systemmanagement eingestuft und begründet wurde.