«Assets» sind alles, was in einem bestimmten Kontext relevant ist für einen bestimmten Unternehmenszweck und deshalb überlebenswichtig. Darum ist es zentral, die Assets zu schützen, um deren Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen.
Was als «Asset» zählt, ist indes eine Frage der Perspektive: Für einen Unternehmensverantwortlichen ist ein Asset z.B. aufgebautes Kundenvertrauen, für den Cybersecurity-Spezialisten sind es die IT-Systeme, für den Information Security Officer Informationen aller Art und für den Data Privacy Officer personenbezogene Daten.
Seine Assets kennen – warum so wichtig?
Nur wer die Assets, die er schützen will, kennt und versteht, ist in der Lage, seine Risiken zu beurteilen und zu bewirtschaften. Leider gibt es kaum praktische Anleitungen, wie sich die Assets so erheben lassen, dass sie vollständig abgebildet und Änderungen rasch erkennbar sind.
Das Ermitteln von Assets im Alltag
Meist werden Assets in einer intensiven und regelmässigen Zusammenarbeit mit den Verantwortlichen für Applikationen und Fachbereiche im Unternehmen erhoben.
Viele Verantwortliche für Informationssicherheit sind damit nicht glücklich, da sie glauben, sich nicht auf die Vollständigkeit und die Aktualität der so dokumentierten Assets verlassen zu können. Tatsächlich wissen die meisten Unternehmen nicht im Detail, welche Systeme, Informationen und Daten sie wo haben und in welchen Prozessen welche Daten verwendet werden.
Auch Inventarlösungen dienen oft nur der Transparenz an sich, basieren auf einem sehr eingeschränkten Verständnis von “Assets” oder sind ungeeignet, um Assets in einen unternehmerischen Risikokontext zu setzen und Schutzmassnahmen abzuleiten.
Grundsätze und Herausforderungen
Damit Assets als Basis für die Risikoanalyse taugen, ist es entscheidend, sie systematisch zu bestimmen und die folgenden Grundsätze zu beachten:
- Erfassen Sie Assets granular und detailliert, um keine wertvollen Komponenten zu übersehen
- Beschreiben Sie Assets als das, was es zu schützen gilt, anstatt sie auf ihre Angriffsfläche zu reduzieren
- Beziehen Sie Assets ein, die sich nicht aus Prozessbeschreibungen ableiten lassen
- Versuchen Sie, Änderungen in der Asset- und Systemlandschaft frühzeitig zu entdecken
Assets gezielt ermitteln für ein solides Cybersecurity-Fundament
Für eine möglichst vollständige und aktuelle Bestimmung der Assets empfiehlt sich die Kombination verschiedener Ansätze:
- Gehen Sie von den IAM-Lösungen aus und leiten Sie ab, worauf die darin verwalteten Personen oder Geräte zugreifen können
- Gehen Sie von allen Inventarien aus und führen Sie diese Informationen über Assets zusammen
- Gehen Sie von bestehenden Dokumentationen der Systemlandschaft, Netzwerkstruktur, IT-Architekturen und Prozesse aus
- Gehen Sie vom Wissen der Prozess- und Applikationsverantwortlichen aus
- Gehen Sie vom realen Netzwerkverkehr aus, um zu verstehen, auf welche Systeme und Assets real zugegriffen wird
Ganz klar: Das Ermitteln von Assets erfordert ein breites Spektrum an Know-how, Erfahrung und Ressourcen – was im Unternehmen oft fehlt. Hier wäre das Geld jedoch bestens investiert, hat sich Cybersecurity doch längst von einem reinen IT- zu einem vordringlichen Business-Thema entwickelt.
---
Dieser Artikel ist am 24. August 2022 in der Netzwoche erschienen.