Asset Management
Was ist Asset Management?
Asset ManagementKontinuierliche Erkennung, Inventarisierung, Klassifizierung und Lebenszyklusverfolgung aller Hardware-, Software-, Cloud- und Datenwerte, die das Sicherheitsprogramm schützen muss.
Asset Management ist das Fundament aller weiteren Sicherheitskontrollen: Was man nicht kennt, kann man weder schützen noch patchen, überwachen oder darauf reagieren. Ein modernes Asset-Inventar deckt Endpoints, Server, Netzwerkgeräte, Mobilgeräte, Cloud-Workloads, SaaS-Tenants, Identitäten, Code-Repositories und Datenspeicher ab, ergänzt um Owner, Kritikalität und Exposure. Discovery erfolgt zunehmend kontinuierlich und werkzeuggestützt über CMDB-Integrationen, EDR-Daten, Cloud-APIs und EASM-Probes. Gutes Asset Management speist Vulnerability- und Configuration-Management, Incident Response sowie die Zero-Trust-Durchsetzung und ist Voraussetzung für Frameworks wie die CIS Controls.
Sein Vorrang ist nicht bloß akademisch: Die CIS Critical Security Controls (v8) machen die „Inventarisierung und Kontrolle von Unternehmens-Assets" und die „von Software-Assets" zu den Controls 1 und 2 — den allerersten Dingen, die eine Organisation tun sollte —, weil sich Eindringlinge gerade in nicht verwalteten Hosts verbergen. Log4Shell (CVE-2021-44228) führte die Lektion drastisch vor Augen: Teams, die nicht beantworten konnten „Wo läuft bei uns Log4j?", suchten tagelang, während jene mit einem genauen Software-Inventar und einer SBOM ihre Exposure binnen Stunden eingrenzten. Auch der Equifax-Vorfall 2017 (CVE-2017-5638) bestand teils fort, weil ein verwundbares Apache-Struts-Asset keinem Owner zugeordnet war, der es gepatcht hätte. Die schwierigste Lücke ist der „Schatten"-Bestand — vergessene Cloud-Instanzen, abgelaufene, aber noch aktive Subdomains und SaaS-Anmeldungen außerhalb der IT —, den Tools für External Attack Surface Management (EASM) zutage fördern, indem sie aus der Perspektive des Angreifers scannen.
flowchart LR
A[Discovery-Quellen] --> B[Normalisieren & deduplizieren]
subgraph A[Discovery-Quellen]
A1[EDR / Agents]
A2[Cloud- & SaaS-APIs]
A3[Netzwerk-Scans / EASM]
A4[CMDB / DHCP / IdP]
end
B --> C[Single Source of Truth]
C --> D[Anreichern: Owner, Kritikalität, Exposure]
D --> E[Vulnerability-Management]
D --> F[Patch- & Config-Management]
D --> G[Incident Response]
E --> H{Lücken abgleichen}
H --> AZiel ist eine kontinuierlich abgeglichene Single Source of Truth: Jeder Zyklus vergleicht, was die einzelnen Quellen sehen, markiert Assets, die in einem System auftauchen, in einem anderen aber nicht (ein klassisches Zeichen für einen nicht verwalteten oder unautorisierten Host), und weist einen Owner zu, bevor das Asset wieder ins Dunkel abdriften kann.
● Beispiele
- 01
Ein wöchentlicher Abgleich, der CMDB-Einträge mit in EDR registrierten Endpoints vergleicht, um nicht verwaltete Hosts zu finden.
- 02
Das Taggen der wichtigsten Datenbanken (Crown Jewels), damit sie vorrangig gepatcht und strenger zugriffsbeschränkt werden.
● Häufige Fragen
Was ist Asset Management?
Kontinuierliche Erkennung, Inventarisierung, Klassifizierung und Lebenszyklusverfolgung aller Hardware-, Software-, Cloud- und Datenwerte, die das Sicherheitsprogramm schützen muss. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Asset Management?
Kontinuierliche Erkennung, Inventarisierung, Klassifizierung und Lebenszyklusverfolgung aller Hardware-, Software-, Cloud- und Datenwerte, die das Sicherheitsprogramm schützen muss.
Wie schützt man sich gegen Asset Management?
Schutzmaßnahmen gegen Asset Management kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Asset Management?
Übliche alternative Bezeichnungen: IT Asset Management, Cyber Asset Management.