Konzept: Assets + Assetmanagement
Wenn der Informationswert das Was Ihres Schutzbedarfs beschreibt, beantwortet das Asset-Inventar das Wo. Im audatis MANAGER bildet das Modul Assetmanagement die zweite tragende Säule des Datenmodells. Es erfasst die Software, Systeme, Standorte, Netzwerk-Infrastruktur, Personen und Datenträger, auf denen Ihre Informationen leben, und macht die Schutzwirkung Ihrer Maßnahmen technisch nachvollziehbar.
Dieser Konzept-Artikel erklärt, was im audatis MANAGER als Asset gilt, wie sich Assets von Informationswerten abgrenzen, wie die Kategorie-Typ-Matrix funktioniert, wie der Schutzbedarf vererbt wird und wie die Verknüpfungs-Logik Asset, Informationswert, VVT und TOM zu einem belastbaren Lagebild zusammensetzt.
Was ist ein Asset im audatis MANAGER?
Assets sind die Träger, Verarbeiter und Übermittler der eigentlichen Information. Im audatis MANAGER ist ein Asset genau das - ein sekundäres Schutzobjekt, das Informationen aufnimmt, verarbeitet, speichert oder weitergibt.
Ein Asset trägt im audatis MANAGER verschiedene Eigenschaften:
- Es trägt Wert. Entweder weil es selbst materiell wertvoll ist (Server, Gebäude), oder weil es einen Informationswert "trägt", der geschützt werden muss.
- Es hat einen Eigentümer. Es existiert i.d.R. ein Asset-Owner pro Asset. Wir empfehlen, Asset-Eigentümer sauber zu erfassen.
- Es hat einen Lebenszyklus. Assets durchlaufen einen definierten Lebenszyklus.
Zur Erinnerung: Die Information ist der logische Schutzgegenstand, das Asset der physische oder logische Träger.
Die Kategorie-Typ-Matrix
Im audatis MANAGER sind 6 Kategorien zur Verwendung vordefiniert. Weitere Typen können nach Bedarf im Assetmanagement ergänzt werden.
Kategorie | Typen |
|---|---|
Software | SaaS, On-Premise, Mobile App, Eigenentwicklung |
Systeme | Server, Virtuell (VM), Client / Arbeitsplatz, Mobilgerät |
Standorte | Gebäude, Raum / Bereich, Rechenzentrum, Externer Standort |
Netzwerk & Infrastruktur | LAN, WLAN, VPN, Firewall, Cloud-Dienst |
Personen | Mitarbeiter, Externer Dienstleister, Rolle |
Datenträger | Festplatte, USB-Stick, Backup-Medium, Papier |
Erweiterungen sind möglich, sollten aber Ausnahme bleiben. Die Standard-Matrix deckt den allergrössten Teil der praxisrelevanten Inventarisierung.
Abgrenzung zum Informationswert
Die häufigste Verwechslung in der Praxis: "Kundenstammdaten" landet ím Assetmanagement, weil die Tabelle im CRM technisch existiert. Kundenstammdaten sind ein Informationswert, das CRM-System ist das Asset, das diesen Informationswert trägt.
Die saubere Frage zur Abgrenzung lautet: "Wenn ich diesen Eintrag durch ein anderes Produkt ersetze, ändert sich dann der Schutzbedarf?" Lautet die Antwort nein, ist es eine Information. lautet sie ja, ist es i.d.R. ein Asset.
Beide Module sind über den Tab Verknüpfungen miteinander gekoppelt. Erst die Verknüpfung macht aus zwei Inventaren ein Datenmodell.
Schutzbedarf und Vererbung
Der Schutzbedarf eines Assets ist kein eigenständiger Akt. Er wird abgeleitet:
- Vertraulichkeit (C) und Integrität (I) vererben sich aus den verknüpften Informationswerten nach dem Maximum-Prinzip.
- Verfügbarkeit (A) wird aus Geschäftsprozessen und Verarbeitungstätigkeiten abgeleitet, die das Asset einsetzen.
Manuelle Erhöhungen sind möglich, manuelle Absenkungen nicht. Damit verhindert der MANAGER das nachträgliche Heruntersetzen eines Asset-Schutzbedarfs, bspw. weil die TOM teuer wird. Wer die Einstufung senken will, muss die Ursache ändern - also den Informationswert anders klassifizieren oder die Verknüpfung trennen.
Ein klassischer Effekt der Vererbung: ein einzelner Fileserver, auf dem sowohl unverfängliche Marketing-Bilder als auch Personalakten liegen, wird allein durch die Verknüpfung mit den Personalakten auf C = sehr hoch hochgestuft. Genau das ist die fachliche Aussage des Datenmodells - der Server ist nur so vertrauenswürdig wie die sensibelste Information, die er trägt. Wer den Schutzbedarf senken will, muss die Personalakten umziehen.
Neben dem Schutzbedarf führt das Asset eine Kritikalität (Kritisch, Hoch, Normal, Gering). Sie steht wird zusammen mit dem Schutzbedarf des Assets betrachtet und beantwortet die Frage "Wie schmerzhaft wäre ein Ausfall?" - relevant für Business-Continuity-Bewertung, getrennt von der C/I/A-Bewertung.
Inventarisierungs-Prinzipien
Für ein lebendes Datenschutz- und Informationssicherheitsmanagementsystem ist ein aktuelles, vollständiges und nachvollziehbares Inventar des gesamten Informationsverbundes Basisvoraussetzung. Drei Prinzipien helfen, das im audatis MANAGER auch über mehrere Jahre konsistent zu halten.
Prinzip 1: Atomarität. Jedes Asset ist ein eigenständig identifizierbares Objekt. Ein "Standort Bielefeld" mit dreissig Servern darin ist kein aggregiertes Asset, sondern ein Standort-Asset mit dreissig enthaltenen Assets. Der MANAGER unterstützt das Gruppieren von Assets mit der Checkbox "Dieses Asset ist eine Gruppe (kann andere Assets enthalten)" im Tab Stammdaten und dem Selbst-Bezug Übergeordnetes Asset. Die Gruppen-Funktion ist kein Ersatz für die Pflege der enthaltenen Einzel-Assets.
Prinzip 2: Eindeutige Verantwortung. Jedes Asset hat einen Asset-Owner. Das Feld ist im Modal technisch optional, fachlich aber Pflicht. Beim Anlegen gleich setzen, später ist die Disziplin schwer wiederherzustellen.
Prinzip 3: Lebenszyklus statt Schnappschuss. Der Tab Lebenszyklus trägt Beginn, Ende und Notizen, der Tab Stammdaten den Status. Beide zusammen rekonstruieren die Asset-Historie.
Das Status-Modell des MANAGERs deckt elf Werte ab: In Planung, In Beschaffung, In Einrichtung, Aktiv, In Prüfung, Im Wechsel, Gesperrt, Ausser Betrieb, In Entsorgung, Vernichtet, Archiviert. Der Übergang zwischen den Status ist nicht erzwungen, aber jeder Übergang sollte zeitlich nachvollziehbar sein - zumindest in den Lebenszyklus-Notizen.
Die Verknüpfungs-Kette: Informationswert - Asset - TOM
Das Asset ist die Drehscheibe zwischen dem was geschützt werden muss (Informationswert) und dem wie geschützt wird (TOM). Der Tab Verknüpfungen und der Tab Maßnahmen machen genau diese Brücke sichtbar.
Beziehung | Funktion |
|---|---|
Informationswert → Asset | Vererbt C/I und lokalisiert die Information |
Asset → Asset | Trägt Abhängigkeiten ab ("Nutzt", "Enthält", "Befindet sich in") - die Beziehungs-Semantik macht den Beziehungsgraph erst auswertbar |
Asset → TOM | Zeigt, welche technischen und organisatorischen Maßnahmen das Asset tatsächlich schützen - Tab Maßnahmen auf der Asset-Detailseite |
Asset → Risiko | Bindet das Asset an das Risikoinventar - jede Bedrohung lässt sich auf konkrete Assets herunterbrechen |
Asset → VVT / Geschäftsprozess | Liefert die Verfügbarkeitsbewertung und macht die DSGVO-Listungspflicht prüfbar |
Sonderfall: Software-Assets mit KI-Komponenten
Mit dem EU AI Act sind Software-Assets mit KI-Komponenten regulatorisch besonders behandelt. Der audatis MANAGER blendet bei dieser Asset-Klasse zwei Pflichtfelder ein:
- Risikoklasse: Minimal, Begrenzt, Hoch, Inakzeptabel (gemäss Art. 6 und Anhang III EU AI Act)
- Rolle im KI-System: Anbieter, Betreiber, Importeur, Händler
Diese Anforderungen steuern, welche Controls / TOM (Trainingsdaten-Governance, Transparenz, menschliche Aufsicht) etabliert werden müssen.
Was Sie als Nächstes lesen sollten
Wenn Sie den Asset-Begriff verstanden haben, vertiefen Sie das Datenmodell, die Status-Übergänge im Artikel Asset-Inventar: Datenmodell, Asset-Typen und Lifecycle. Für die Frage, woher der Schutzbedarf kommt, lesen Sie das Konzept: Daten und Informationen. Für die Frage, wie sich Schutzwirkung am Asset misst, folgt das Konzept: TOM.