„Assets“ (auch: Informationswerte) sind alle schützenswerten Güter einer Institution, die für Geschäftsprozesse oder Fachaufgaben benötigt werden. Dazu zählen vor allem Informationen und die Prozesse, in denen sie genutzt werden, aber auch unterstützende Elemente wie Anwendungen, IT-Systeme, Räume, Kommunikationsverbindungen und Infrastrukturen. Im IT-Grundschutz wird für besonders bedeutsame Assets der Begriff „Kronjuwelen“ verwendet – gemeint sind die Informationen und Geschäftsprozesse, deren Verlust, Manipulation oder Nichtverfügbarkeit existenzbedrohende Folgen haben könnte.
Einordnung in den IT-Grundschutz / BSI-Standards
Die IT-Grundschutz-Methodik (BSI-Standard 200-2) erfasst Assets im Rahmen der Strukturanalyse: Ausgehend von den Geschäftsprozessen werden die zugehörigen Informationen, Anwendungen, IT-Systeme sowie die räumliche und technische Umgebung systematisch erhoben und in Beziehung gesetzt. So entsteht Transparenz über Abhängigkeiten und Schutzbedarfe.
Bei der Kern-Absicherung steht die Fokussierung auf besonders schützenswerte Assets im Mittelpunkt („Kronjuwelen“ identifizieren, Geltungsbereich eng abgrenzen, Informationsverbund klein halten).
Für Risikoanalysen (BSI-Standard 200-3) arbeitet der IT-Grundschutz mit „Zielobjekten“. Das entspricht inhaltlich dem Asset-Begriff: Zielobjekte werden gruppiert, priorisiert und anschließend systematisch hinsichtlich Gefährdungen und Risiken bewertet.
Im BCM (BSI-Standard 200-4) werden Assets als „Ressourcen“ betrachtet. In der BIA werden Ressourcenkategorien und -cluster festgelegt, um zeitkritische Abhängigkeiten sichtbar zu machen und die Betrachtung zu vereinfachen.
Zweck und Nutzen
Der Asset-Begriff hilft, Informationssicherheit und Business-Continuity zielgerichtet zu steuern:
- Schutzbedarf bestimmen: Welche Werte sind wie kritisch? (Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit).
- Komplexität reduzieren: Durch Gruppenbildung bzw. Cluster bleibt die Analyse handhabbar, ohne wichtige Abhängigkeiten zu verlieren.
- Ressourcen fokussieren: Mit der Kern-Absicherung lassen sich begrenzte Budgets zuerst auf die Kronjuwelen lenken.
- Risiken bewerten und behandeln: Zielobjekte/Assets bilden die Basis, um Gefährdungen zu identifizieren, Risiken einzuschätzen und Maßnahmen abzuleiten.
Praktische Relevanz
Stellen Sie sich vor, ein Unternehmen benötigt für den reibungslosen Betrieb seiner Webanwendung einen Server. Diese Server stellt einen wesentlichen Vermögenswert (Asset) dar, da er zur Gewährleistung der Kontinuität des Geschäftsprozesses unerlässlich ist. Der Wert dieses Assets geht über den reinen finanziellen Aspekt hinaus und umfasst auch die strategische Bedeutung, die er für das Unternehmen hat. In diesem Kontext ist der Server ein Beispiel für ein “werthaltiges Zielobjekt” im Sinne des IT-Grundschutzes.