A.5.9 — Inventar von Informationswerten

Du kannst nicht schützen, was du nicht kennst. Dieser Satz wird oft zitiert, bleibt aber wahr. Eine Organisation, die ihre Informationswerte nicht inventarisiert hat, kann deren Schutzbedarf nicht bestimmen, keine Risiken bewerten und keine Maßnahmen priorisieren. A.5.9 fordert ein vollständiges, aktuelles Inventar aller Informationen und zugehörigen Vermögenswerte mit zugewiesenen Eigentümern.

Zweck: Informationen und zugehörige Vermögenswerte identifizieren und angemessene Eigentümerschaft zuweisen.
Wirkungsrichtung: Präventiv
Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit
Thema: Organisatorische Kontrolle
BSI-Bausteine: BSI-Standard 200-2 Kapitel 8.1, ORP.1.A2, ORP.1.A8, OPS.1.1.1.A6, APP.6.A9, IND.1.A4, NET.1.1.A2, INF.11.A5
KPI: % der Informationswerte, die in einem aktuellen und vollständigen Asset-Inventar erfasst sind

Responsible	Asset-Eigentümer
Accountable	ISB / (C)ISO
Consulted	Asset-Eigentümer, DSB, Abteilungsleitung, Facility Manager, HR, IT-Leitung, IT-Admin, IT-Sicherheitsbeauftragter, ISB, Rechtsberatung, Risikoverantwortliche, Software-Entwicklungsleitung, Lieferantenmanagement
Informed	Alle Beschäftigten, Asset-Eigentümer, Abteilungsleitung, ISB, Geschäftsführung

Was verlangt die Norm?

Informationswerte identifizieren. Alle Informationen und zugehörigen Vermögenswerte, die für die Organisation relevant sind, werden systematisch erfasst.
Eigentümer zuweisen. Jedem Asset wird eine verantwortliche Person (Eigentümer) zugeordnet, die für den Schutz verantwortlich ist.
Inventar pflegen. Das Inventar wird aktuell gehalten — bei Beschaffung, Entsorgung, Änderung und in regelmäßigen Überprüfungszyklen.
Lebenszyklus abbilden. Assets werden von der Beschaffung bis zur sicheren Entsorgung im Inventar geführt.

In der Praxis

Asset-Register strukturiert aufbauen. Definiere die Felder: Asset-Name, Kategorie, Beschreibung, Eigentümer, Standort, Klassifizierung (Schutzbedarf), Abhängigkeiten, Status. Starte mit den geschäftskritischen Assets und erweitere schrittweise.

Eigentümerschaft klar definieren. Der Eigentümer ist die Person, die für den Schutz des Assets verantwortlich ist — typischerweise die Fachabteilungsleitung für Datenbestände, die IT-Leitung für Infrastruktur. Eigentümer ist nicht zwingend der, der das Asset technisch betreibt.

Discovery-Tools für IT-Assets einsetzen. Netzwerk-Scanner, CMDB-Systeme und Cloud-Inventarisierungstools ergänzen die manuelle Erfassung. Sie decken unbekannte Assets auf — Shadow IT, vergessene Testserver, abgelaufene Cloud-Instanzen.

Jährliches Asset-Review durchführen. Einmal pro Jahr prüft jeder Eigentümer seine Assets: Stimmt die Zuordnung noch? Hat sich der Schutzbedarf geändert? Sind Assets hinzugekommen oder weggefallen? Das Review-Ergebnis wird dokumentiert.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.9 typischerweise diese Nachweise:

Asset-Register — vollständige Übersicht aller Informationswerte mit Eigentümerzuordnung (→ Asset-Register im Starter Kit)
Eigentümer-Zuordnung — dokumentierte Zuweisung für jedes Asset
Review-Protokolle — Nachweis der regelmäßigen Aktualisierung
Discovery-Berichte — Ergebnisse automatischer Inventarisierung (Netzwerk-Scans, Cloud-Inventar)
Entsorgungsnachweise — Belege für die sichere Entsorgung ausgemusterter Assets

KPI

% der Informationswerte, die in einem aktuellen und vollständigen Asset-Inventar erfasst sind

Gemessen als Prozentsatz der bekannten Assets im Inventar. Ziel: 100%. Der Schwachpunkt: Du misst nur, was du kennst. Regelmäßige Discovery-Scans helfen, die Dunkelziffer zu reduzieren. Typischer Startwert: 50–70%, da Cloud-Dienste und Endgeräte häufig fehlen.

Ergänzende KPIs:

Anteil der Assets mit zugewiesenem Eigentümer
Anteil der Assets, deren Review im letzten Jahr stattfand
Anzahl der durch Discovery-Scans neu entdeckten Assets pro Quartal

BSI IT-Grundschutz

A.5.9 korrespondiert mit dem Strukturanalyse-Kapitel des BSI:

BSI-Standard 200-2 Kapitel 8.1 (Strukturanalyse) — verlangt die Erfassung aller relevanten Geschäftsprozesse, Anwendungen, IT-Systeme, Netzwerke und Räume als Grundlage für die Modellierung.
ORP.1.A2 (Zuweisung der Zuständigkeiten) — jedes Asset braucht eine zuständige Person.
ORP.1.A8 (Schutzbedarfsfeststellung) — der Schutzbedarf wird pro Asset ermittelt.
OPS.1.1.1.A6 (Dokumentation der IT-Systeme) — IT-Systeme müssen mit ihren Konfigurationen dokumentiert sein.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.9 — Inventar von Informationswerten
ISO/IEC 27002:2022 Abschnitt 5.9 — Umsetzungshinweise
BSI IT-Grundschutz, BSI-Standard 200-2 — IT-Grundschutz-Methodik

Häufig gestellte Fragen

Was zählt alles als Informationswert?

Alles, was für die Informationsverarbeitung der Organisation relevant ist: Datenbestände, Software, Hardware, Netzwerkinfrastruktur, Cloud-Dienste, physische Standorte, Verträge mit sicherheitsrelevantem Inhalt und — oft vergessen — das Wissen der Mitarbeitenden. Beginne mit den offensichtlichen Kategorien und erweitere iterativ.

Muss jeder einzelne Laptop inventarisiert werden?

Nicht zwingend einzeln, aber kategorisiert. Du kannst gleichartige Assets gruppieren (z. B. ‚50 Standardlaptops, Modell X, Abteilung Y'), solange der Schutzbedarf und die verantwortliche Person zugeordnet sind. Bei Assets mit individuellem Schutzbedarf (z. B. Server mit Kundendaten) ist Einzelinventarisierung Pflicht.

Wie halte ich das Inventar aktuell?

Drei Trigger: jährliches Review aller Assets, anlassbezogene Updates bei Beschaffung oder Entsorgung und automatische Discovery-Tools für IT-Assets. Die größte Herausforderung ist die Aktualität — ein Inventar, das bei Erstellung stimmt und danach veraltet, hat keinen Wert.