Im ersten Teil des “Asset-Tango” haben wir gelernt, wie man ein Asset identifiziert und inventarisiert. Heute möchte ich weitere Aspekte hinzufügen: Asset-Hierarchien und Asset-Attribute.
Beginnen wir mit den Asset-Hierarchien.
Die primären Assets sind meist die Geschäftsprozesse, von denen sich weitere Assets ableiten. Dazu gehören geschultes Personal, Maschinen oder Computer und Programme, die in den Prozessen verwendet werden. Programme benötigen immer einen Computer, auf dem sie betrieben werden. Auf einem Computer können mehrere Programme gleichzeitig laufen. Um ein Programm zur Verfügung zu stellen, benötigt es ein Betriebssystem. Mehrere Computer befinden sich in einem Datenschrank oder Serverraum. Der Serverraum benötigt eine Klimaanlage, Strom und eventuell eine Brandschutzanlage. Die Datenschränke bilden die Basis für mehrere Computer in einem Serverraum.
An diesem Beispiel erkennst du unterschiedliche “Ebenen” oder “Hierarchien” von Assets. Bei der späteren “Risikobetrachtung” spielt das eine Rolle.
Feuer, Wasserschäden und Erdbeben muss ich nicht für jeden einzelnen Server als Risiko sehen. Das verbinde ich besser mit dem Serverraum oder sogar dem Gebäude.
Die Stromversorgung und der “Notstrom” passen zum Serverraum, aber vielleicht zusätzlich zu einem einzelnen Datenschrank? Wenn ein Computer in einem gut geplanten Datenschrank eingebaut ist, dann ist die Stromversorgung allgemein durch diesen sichergestellt. Der Computer selbst kann jedoch einen technischen Defekt haben.
Wie beim Tango gibt es keinen fest definierten Plan, wie man die Asset-Hierarchien aufbauen muss. Es gibt jedoch“Quellen”, von denen man lernen kann.
Im BSI IT-Grundschutz wird der Begriff “Informationsverbund” verwendet, um die Summe der informationsverarbeitenden Assets zu definieren.
Um den Informationsverbund zu schützen, muss er vollständig erfasst werden und die Assets inklusive ihrer Abhängigkeiten und Schnittstellen zueinander müssen in einer auswertbaren Form abgebildet werden.
Das bringt mich zum zweiten Aspekt: “Asset Attribute”. Den Grundgedanken dafür habe ich in der objektorientierten Programmierung gelernt. Dort entwickelt man stark vereinfacht ein “Objekt”, das Eigenschaften und Methoden hat.
Die Eigenschaft beschreibt das Objekt. Bei einem Computer kann das beispielsweise der Hersteller, die Seriennummer, die Garantie, der Verkäufer, die Anzahl und Modelle der CPU oder der Arbeitsspeicher sein.
Die Methoden sagen etwas dazu aus, was man mit dem Object (z.B. Computer) machen kann. Man kann ihn beispielsweise ein- und ausschalten.
Welche “Eigenschaften und Methoden” es bei einem Asset gibt, kann sehr unterschiedlich sein. Was hilfreich ist – Assets kann man in gleichartige Klassen zusammenfassen.
Alle Computer haben grundsätzlich ähnliche Eigenschaften.
Betrachten wir beispielsweise ein Programm, so besteht dieses oft aus Komponenten, die bei der Programmierung genutzt und zusammengefügt werden. Das sind die “Bibliotheken (Libraries)”. Zu wissen, welche dieser Bibliotheken in welcher Version eines Programmes enthalten sind, ist gerade in der Informationssicherheit sehr wichtig.
Ein Programm könnte eine Liste der verwendeten Bibliotheken (SBOM, Software bill of Materials) als Eigenschaft enthalten.
Erinnern du dich an “Log4J”?
Damals ging es gerade um so eine Bibliothek, die in sehr vielen Programmen verwendet wurde und mehrere Sicherheitsprobleme hatte. Wird eine solche Schwachstelle bekannt, musst du in der Lage sein, alle Assets mit der Eigenschaft “verwendet Log4J in der Version x.xx.xx” zu identifizieren, um angemessen reagieren zu können.
Oder der aktuelle “Crowdstrike”-Fall. Es hilft bei der Reaktion auf so einen gravierenden Informations-Sicherheits-Vorfall, wenn man alle betroffenen Assets schnell identifizieren kann. Vielleicht kann man sogar noch den Ausfall einzelner Assets verhindern, die noch nicht betroffen sind.
Für mich ist ein gutes und ausführliches Asset Management ein wesentlicher Baustein der Informationssicherheit.
Wer seine Assets nicht kennt und auch nicht sagen kann, wie diese im “Informationsverbund” zusammenspielen, wird immer wieder auf Probleme stoßen.
“Know your Assets” sollte daher einen der ersten Plätze auf deiner Aktionsliste bei NIS-2 und in der Informationssicherheit haben.
Das ist keine kleine oder einfache Aufgabe, aber du kannst den Kopf in den Sand stecken und das ignorieren oder einfach anfangen.
Ich garantiere dir, du kannst nach und nach besser werden und wenn du dann alle “Grundschritte” eingeübt hast, bist du bereit, den “Asset-Tango” zu tanzen.
Dance Tango with the Assets: The Next Steps
In the first part of the “Asset Tango,” we learned how to identify and inventory an asset. Today, I want to add more aspects: Asset Hierarchies and Asset Attributes.
Let’s start with Asset Hierarchies.
The primary assets are usually the business processes, from which other assets derive. These include trained personnel, machines, or computers and programs used in the processes. Programs always need a computer to run on. Multiple programs can run simultaneously on a computer. To provide a program, it needs an operating system. Several computers are housed in a data cabinet or server room. The server room requires air conditioning, power, and possibly a fire protection system. The data cabinets form the basis for multiple computers in a server room.
This example shows different “levels” or “hierarchies” of assets. This plays a role in later “risk assessment.”
Fire, water damage, and earthquakes do not need to be seen as risks for each individual server. It is better to associate these with the server room or even the building.
The power supply and “emergency power” fit the server room, but perhaps also an individual data cabinet? If a computer is installed in a well-planned data cabinet, the power supply is generally ensured by it. However, the computer itself can have a technical defect.
Like in tango, there is no fixed plan for how to build asset hierarchies. However, there are “sources” from which one can learn.
In the BSI IT-Grundschutz, the term “Informationsverbund” is used to define the sum of information-processing assets.
To protect the information network, it must be fully recorded, and the assets, including their dependencies and interfaces with each other, must be mapped in an evaluable form.
This brings me to the second aspect: Asset Attributes. I learned the basic idea for this in object-oriented programming. There, one develops a simplified “object” that has properties and methods.
The property describes the object. For a computer, this could be the manufacturer, serial number, warranty, seller, number and models of the CPU, or the RAM.
The methods describe what can be done with the object (e.g., computer). For example, it can be turned on and off.
The properties and methods of an asset can vary greatly. What is helpful is that assets can be grouped into similar classes.
All computers have fundamentally similar properties.
For example, consider a program. It often consists of components used and assembled during programming. These are the “libraries.” Knowing which of these libraries are included in which version of a program is very important in information security.
A program could include a list of the libraries used (SBOM, Software Bill of Materials) as a property.
Do you remember “Log4J”?
At that time, it was about such a library used in many programs and had several security issues. When such a vulnerability becomes known, you must be able to identify all assets with the property “uses Log4J in version x.xx.xx” to respond appropriately.
Or the current “Crowdstrike” case. It helps in responding to such a serious information security incident if you can quickly identify all affected assets. Perhaps you can even prevent the failure of individual assets that are not yet affected.
For me, good and detailed asset management is an essential component of information security.
Those who do not know their assets and cannot say how they interact in the “information network” will repeatedly encounter problems.
“Know your Assets” should therefore be one of the top priorities on your action list for NIS-2 and information security.
This is not a small or easy task, but you can either bury your head in the sand and ignore it or just start.
I guarantee you can get better step by step, and once you have practiced all the “basic steps,” you are ready to dance the “Asset Tango.”