Diese Frage wird oft diskutiert. Viele finden die Antwort recht schnell in ihrem Inventar oder ihrer CMDB. Tatsache ist, dass die Norm in den Kapiteln 4 – 10, also den Kapiteln, die das Managementsystem beschreiben, keinen direkten Bezug auf Assets liefert. Asset kann frei als „Wert“ übersetzt werden. Also, alles was für eine Organisation von Wert ist, ist ein Asset. Die Norm ISO/IEC 27000, also das Mutterschiff, sagt in Kapitel 3.2.2 ganz klar, dass Information ein Wert ist, der, ebenso wie andere wichtige Unternehmenswerte, zu schützen ist. Dabei muss berücksichtigt werden, dass Information in unterschiedlicher Form vorliegt und auf verschiedenen Medien gespeichert wird. Information kann auf Papier geschrieben werden, auf Magnetbändern archiviert werden oder einfach in den Köpfen der Mitarbeiter vorhanden sein. Information wird häufig auf verschiedenste Weise verarbeitet und hier spielen IT-Systeme eine wichtige Rolle.
In meiner Arbeit habe ich mir diese offene Definition angeeignet. Dabei sehe ich Assets auf verschiedenen Ebenen. Zuerst identifiziere ich die wichtigsten Assets. Das sind die Werte eines Unternehmens, die es zu schützen gilt. Ein Informationssicherheits-Managementsystem hat die Aufgabe Unternehmenswerte zu schützen. Das kann aber nur wirksam getan werden, wenn die Unternehmenswerte klar identifiziert sind. Häufig sind das aber keine Werte, die in einem Inventar oder einer CMDB stehen. Es handelt sich dabei eher um abstrakte Werte, wie die Reputation eines Unternehmens, Geschäftsprozesse, eine besondere Kundenbeziehung, eine Technologie, Know-How, Erfahrung der Mitarbeiter, Forschungsergebnisse usw.
Verdeutlichen lässt sich das an einem einfachen Beispiel. Was ist das wichtigste Asset eines Schreiners? Sicher nicht seine Säge. Die Säge gilt es nicht zu schützen, sie ist ersetzbar. Sein Können, seine Erfahrung, seine Kunden, seine Reputation, seine Hände. Diese gilt es zu schützen, denn sie sind nur schwer, evtl. gar nicht, zu ersetzen und sorgen dafür, dass er Geld verdient. Nicht die Säge. Klar, die Säge muss scharf sein. Sie muss funktionieren, wenn der Schreiner sie braucht usw. Aber sie ist nur ein unterstützendes Asset, das nötig ist, damit seine eigentlichen Assets ihren Wert ausschöpfen können.
Dieses Beispiel zeigt, dass es mindestens zwei Ebenen an Assets oder Werten gibt. Ich nenne sie primäre Assets und sekundäre Assets. Die primären Assets sind solche Assets, die unbedingt zu schützen sind. Sie stellen den eigentlichen Wert eines Unternehmens dar. Die sekundären Assets sind solche Assets die benötigt werden, damit die primären Assets ihre Wertschöpfung entfalten können. Üblicherweise sind die sekundären Assets leichter zu ersetzen oder gegen Ausfall zu schützen. Sie haben an sich wenig Wert. Allerdings sind die primären Assets häufig abhängig von den sekundären Assets. (Der Schreiner wird das Holz kaum mit der Hand sägen können.) Risiken können auf beiden Ebenen auftreten. Der Schreiner kann sich die Hände brechen oder seine Säge könnte gestohlen werden. Beides führt dazu, dass eine Arbeit nicht durchgeführt werden kann. Die zu ergreifenden Maßnahmen zur Reduktion des Risikos sind aber in beiden Fällen sehr unterschiedlich ebenso wie auch die Auswirkung unterschiedlich ist.
Der Begriff Asset oder Wert taucht zum ersten Mal im Anhang A in der Maßnahme A.6.1.2 auf. Dort geht es um Aufgabentrennung um die Möglichkeit zum Mißbrauch der organsisationseigenen Werte zu reduzieren.
Wenn also in den Mindestanforderungen (Kapitel 4 – 10) die Assets gar nicht gefordert sind, warum also so ein Aufstand wegen Assets?
Zur Betrachtung des Kontexts nach Kapitel 4.1 gehört es, externe und interne Themen zu bestimmen, die sich auf die Fähigkeit der Organisation auswirken, die beabsichtigten Ergebnisse des ISMS zu erreichen. Um diese Themen zu bestimmen muss ich mir vorher Gedanken gemacht haben, was für ein Ergebnis das ISMS liefern soll. Welchen Zweck verfolgt das ISMS? Aus meiner Sicht (das steht aber nicht explizit in der Norm) geht es darum das Unternehmen zu schützen, den Fortbestand des Unternehmens zu sichern usw. Zuerst muss also der Geschäftszweck definiert werden. Dieser Geschäftszweck ist üblicherweise an die primären Assets gebunden.
Diese zu schützen sollte als Informationssicherheitsziel definiert sein. Einige dieser primären Assets müssen in ihrer Verfügbarkeit (Dienstleistung) geschützt werden, bei anderen ist es eher die Vertraulichkeit (personenbezogene oder unternehmensbezogene Daten), bei wieder anderen muss die Integrität (Dienstleistung oder Daten) geschützt werden und häufig ist es eine Kombination aus allen drei Aspekten in unterschiedlicher Gewichtung. Um diese Schutzziele zu erreichen müssen aber auch die sekundären Assets betrachtet werden, die keinen eigenen Schutzbedarf haben, sondern den Schutzbedarf der primären Assets erben. Ein sinnvolles Risikomanagement ist ohne Kenntnis der Assets kaum möglich. So steht es auch in der Norm ISO/IEC 27002, in den Anmerkungen zur Maßnahme 8.1.1 „Inventar der Werte“: Das Inventar der Werte ist eine wichtige Voraussetzung für das Risikomanagement.