Was ist IT-Asset-Management?
IT-Asset-Management ist ein Prozess, bei dem alle IT-Ressourcen eines Unternehmens effektiv identifiziert, inventarisiert, verwaltet und optimiert werden. Dazu gehören Hardware wie Computer, Server und Netzwerkgeräte sowie Softwarelizenzen und digitale Inhalte.
Ein Beispiel für IT-Asset-Management ist, wenn ein Unternehmen eine zentrale Datenbank oder ein System (CMDB) verwendet, um alle seine IT-Ressourcen (Configuration Items) zu verfolgen, einschließlich ihrer Konfigurationen, Wartungspläne und Lizenzinformationen.
Beide Welten (IT und Non-IT) des Asset-Managements profitieren voneinander. Durch eine gemeinsame Planung und effektive Verwaltung können Unternehmen Kosten senken, Effizienz und Produktivität steigern sowie sicherstellen, dass sie über die benötigten Ressourcen verfügen, um ihre Geschäftsziele zu erreichen.
Die Schutzbedarfsanalyse im ISMS ist ein wichtiger Bestandteil des IT-Asset-Managements. Sie hilft dabei, IT-Assets zu priorisieren zu und so einen angemessenen Sicherheitslevel für die IT-Ressourcen zu bestimmen. Dabei ist ein Top-down-Vorgehen empfehlenswert: Ausgehend von Managementprozessen über Kernprozesse bis hin zu den unterstützenden Prozessen werden zuerst Primary Assets ermittelt und darauf aufbauend die unterstützenden Secondary Assets. Weiter „unten“ in dieser Assetstruktur können dann bei Bedarf Elemente der bereits vorhandenen CMDB integriert werden.
Ihre Vorteile von IT-Asset-Management
Optimierung der Ressourcennutzung
Verbesserte Compliance
Erhöhte Sicherheit
Kostenkontrolle
Was ist ein Asset?
Assets sind Informationswerte, die für eine Organisation einen potenziellen oder tatsächlichen Wert darstellen und im Rahmen von Geschäftsaktivitäten genutzt werden.
Ein Asset ist also jede finanziell wertvolle Komponente, die zur Bereitstellung eines IT-Produktes oder zur Erbringung eines IT-Services beitragen kann. Man unterscheidet zwischen Primary und Secondary Assets.
Primary Assets fassen alle Werte und Prozesse zusammen, die Informationen in sich tragen und somit unbedingt zu schützen sind. Primary Assets können etablierte Prozesse oder Know-how sein, aber auch physische Gegenstände wie Dokumente, Prototypen oder Modelle. Rein digitale Assets sind ebenso möglich (Dateien, Datenbanken ...). Der eigentliche Wert steckt im Primary Asset.
Secondary Assets hingegen bezeichnen Systeme (logische und physische), digitale Komponenten, Inventargegenstände oder Ähnliches, welche für die Verarbeitung, Speicherung oder Bereitstellung von Primary Assets benötigt werden. Dies können zum Beispiel Server, Applikationen, Rechenzentrum sein.
Was ist Asset-Management nach ITIL®?
Laut dem ITIL®-Handbuch ist Asset-Management eine bewährte Practice (Handlungsempfehlung), die den Erwerb, den Betrieb, die Pflege und die Entsorgung von Assets der Organisation umfasst, insbesondere solche der kritischen Infrastruktur.
Es bezieht sich also auf die Verwaltung und Optimierung von Vermögenswerten eines Unternehmens, sei es physischer oder finanzieller Natur, um deren Wert zu maximieren und Risiken zu minimieren. Es umfasst die Bereiche wie Beschaffung, Nutzung, Wartung, Verfolgung und Entsorgung von Vermögenswerten.
Welche Arten von Asset-Management gibt es?
Asset-Management gliedert sich in zwei Hauptarten im Bereich der Informationstechnologie: ITAM (Information Technology Asset Management) und SAM (Software Asset Management)
Information-Technology-Asset-Management | ITAM
ITAM bezieht sich auf die Verwaltung aller physischen und nicht-physischen IT-Ressourcen eines Unternehmens. Dies umfasst Hardware wie Computer, Server, Netzwerkgeräte, aber auch Softwarelizenzen, digitale Inhalte und andere technologische Vermögenswerte. Das Hauptziel von ITAM besteht darin, sicherzustellen, dass diese Ressourcen effizient genutzt, überwacht, gewartet und aktualisiert werden.
Software-Asset-Management | SAM
SAM konzentriert sich speziell auf die Verwaltung von Softwarelizenzen und -anwendungen in einem Unternehmen. Ziel ist es, sicherzustellen, dass Unternehmen die richtige Anzahl an Lizenzen besitzen, dass diese ordnungsgemäß genutzt werden und dass die Software den rechtlichen Anforderungen entspricht. SAM umfasst auch die Überwachung der Softwarenutzung, die Identifizierung von Lizenzierungsoptionen und die Optimierung von Softwareausgaben.
Beide Arten des Asset-Managements sind eng miteinander verbunden und sorgen in Kombination für eine umfassende Kontrolle über die IT-Ressourcen eines Unternehmens. Während ITAM die gesamte IT-Infrastruktur abdeckt, konzentriert sich SAM speziell auf die Softwarekomponente. Zusammen tragen sie dazu bei, die Kosten zu kontrollieren, die Effizienz zu steigern, die Compliance zu verbessern und die Sicherheit der IT-Systeme zu gewährleisten.
Die führende Softwarelösung für IT-Asset-Management.
Der IT-Asset-Management-Prozess
Das IT-Asset-Lifecycle-Management ist der Prozess der effektiven Verwaltung von IT-Ressourcen über ihren gesamten Lebenszyklus hinweg, von der Beschaffung bis zur Entsorgung. Der IT-Asset-Management-Prozess besteht aus mehreren Phasen, die jeweils spezifische Aufgaben umfassen:
Planung: In dieser Phase werden die Ziele und Anforderungen des IT-Asset-Managements festgelegt. Das umfasst die Definition von Richtlinien, die Identifizierung von Zuständigkeiten und die Festlegung von Prozessen für die Verwaltung von IT-Ressourcen.
Beschaffung: Während dieser Phase werden die benötigten IT-Ressourcen identifiziert, beschafft und bereitgestellt. Das beinhaltet die Auswahl von Hardware, Software und anderen technologischen Vermögenswerten gemäß den Geschäftsanforderungen.
Deployment: Hier werden die beschafften IT-Ressourcen in die IT-Infrastruktur integriert und in Betrieb genommen. Dazu gehören die Installation, Konfiguration und Implementierung von Hardware und Software gemäß den spezifizierten Anforderungen.
Wartung: In dieser Phase werden die IT-Ressourcen kontinuierlich gewartet und unterstützt, um ihre Leistung und Sicherheit zu gewährleisten. Das umfasst regelmäßige Updates, Patch-Management, Fehlerbehebung und technischen Support.
Stilllegung: Am Ende ihres Lebenszyklus werden die IT-Ressourcen außer Betrieb genommen und aus der Infrastruktur entfernt. Das beinhaltet die ordnungsgemäße Entsorgung oder Wiederverwendung von Hardware, das Zurückgeben oder die Kündigung von Softwarelizenzen und die Archivierung von Daten gemäß den geltenden Richtlinien und Vorschriften.
Diese Phasen bilden einen kontinuierlichen Zyklus im IT-Asset-Management und ermöglichen es Unternehmen, ihre IT-Ressourcen effektiv zu verwalten, zu optimieren und Risiken zu minimieren, während sie ihre Geschäftsziele unterstützen.
Was ist eine Schutzbedarfsanalyse?
Die Schutzbedarfsanalyse dient der strukturierten Zuweisung von Schutzbedarfen für jedes einzelne Asset. Dabei muss die Wirtschaftlichkeit stets mitbeachtet werden, da ein zu geringer Schutz Risiken birgt, ein Überschutz hingegen unnötige Kosten verursacht. Schutzbedarfsanalysen werden regelmäßig durchgeführt, da sich die Bewertungskriterien oder die Ausgangslage im Laufe der Zeit ändern können. So können beispielsweise neue Compliance- oder Gesetzesvorgaben gelten, neue Prozesse eingeführt oder neue Technologien verwendet werden, die Einfluss auf bestehende Assets haben.
Ziel der Schutzbedarfsanalyse im OMNITRACKER Asset Management ist es nun, die strikte Vererbung eines zu teuren Schutzbedarfs zu unterbrechen, indem beispielsweise Voraussetzungen erfüllt werden, die den Schutzbedarf punktuell senken: Das Rollen- und Berechtigungskonzept einer OMNITRACKER-Applikation kann zum Beispiel die Vertraulichkeit „Sehr hoch“ sicherstellen, da nicht autorisierter Zugriff aufgrund der eingeloggten Rolle verhindert wird. Eine weitere Vererbung der Vertraulichkeit „Sehr hoch“ auf andere unterstützenden Assets unterhalb der OMNITRACKER-Applikation ist somit nicht notwendig.
Primäre Schutzziele | Basisschutzziele
Die primären Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sind für jedes Asset immer zu bewerten.Vertraulichkeit
Vertraulichkeit bedeutet, dass sensible Informationen vor unbefugtem Zugriff geschützt werden. Dies zielt darauf ab, sicherzustellen, dass Informationen nur für autorisierte Personen zugänglich sind und nicht von unbefugten Dritten eingesehen, kopiert oder modifiziert werden können. Vertraulichkeit wird häufig durch Verschlüsselungstechniken, Zugriffskontrollen und andere Sicherheitsmechanismen gewährleistet.
Verfügbarkeit
Verfügbarkeit bezieht sich darauf, dass Informationen und Ressourcen jederzeit und in angemessener Zeit für autorisierte Benutzer verfügbar sind. Damit soll gewährleistet werden, dass Systeme und Daten kontinuierlich zugänglich sind und nicht durch Ausfälle, Angriffe oder andere Störungen beeinträchtigt werden. Maßnahmen zur Verbesserung der Verfügbarkeit umfassen Redundanz, Failover-Mechanismen und Disaster-Recovery-Pläne.
Integrität
Mit Integrität ist gemeint, dass Informationen korrekt, vollständig und unverändert bleiben und nicht unbemerkt manipuliert werden können. Daten müssen also während der Speicherung, Übertragung und Verarbeitung zuverlässig vor unbefugten Änderungen geschützt sein. Integrität wird durch Mechanismen wie Hash-Funktionen, digitale Signaturen und Zugriffskontrollen sichergestellt.
ISO-Standard für ITAM | ISO/IEC 19770
Der ISO/IEC 19770 ist ein internationaler Standard für das IT-Asset-Management (ITAM), der Richtlinien und Best Practices für die Verwaltung von IT-Ressourcen in Organisationen festlegt.
Der ISO/IEC 19770 legt großen Wert auf Compliance und Lizenzmanagement. Organisationen werden aufgefordert, sicherzustellen, dass sie alle relevanten Lizenzvereinbarungen einhalten und effektive Prozesse für das Lizenzmanagement implementieren, um Über- oder Unterlizenzierung zu vermeiden. Insgesamt bietet der ISO/IEC 19770 einen Rahmen für die Implementierung eines effektiven IT-Asset-Managements, der Organisationen dabei unterstützt, ihre IT-Ressourcen effizient zu verwalten, Kosten zu kontrollieren, Compliance zu gewährleisten und die Leistung ihrer IT-Infrastruktur zu optimieren.
Dabei fordert der Standard eine genaue Inventarisierung und Dokumentation aller IT-Ressourcen, einschließlich Hardware, Software und digitaler Inhalte. Dies umfasst Details wie Herstellerinformationen, Lizenzinformationen, Standort und Zustand der Ressourcen. Der Standard legt fest, dass Organisationen klare Richtlinien und Verfahren für das ITAM entwickeln sollten, einschließlich der Identifizierung von Verantwortlichkeiten, Prozessen für die Erfassung und Verfolgung von IT-Ressourcen sowie Richtlinien für die Datensicherheit.
Überzeugte OMNITRACKER-Anwender
OMNITRACKER macht alle Prozesse klarer und effizienter.
Relevante Informationen zum Thema IT-Asset-Management
Fachartikel Schutzbedarfsanalyse
Unsere Autoren zeigen, wie Organisationen Assets sinnvoll clustern und auf ihren Schutzbedarf hin bewerten können, welche Vorteile das mit sich bringt und welche Anforderungen eine hierbei eingesetzte Softwarelösung erfüllen sollte.
Aufzeichnung der Live-Session
In dieser Live-Session zeigen Ihnen Andreas Chlebnicek und Jakob Steudel, mit welchen softwaregestützten Methoden Sie Schutzbedarfsanalysen in Ihrem Unternehmen bedarfsgerechter und effizienter durchführen können.