Der Tango ist ein Tanz voller Leidenschaft, Präzision und Kontrolle, ähnlich wie das Assetmanagement, das eine genaue Kontrolle und Verwaltung von Vermögenswerten erfordert.
Ich habe kurz überlegt, wie ich meine Serie fortsetzen soll, aber das Assetmanagement erscheint mir der beste nächste Schritt zu sein.
Was ist eigentlich ein Asset?
Kurz gesagt, kann man alles in unserer Welt als ein Asset auffassen. Für die Informationssicherheit kommt aber ein sehr wichtiger Aspekt dazu. Hier sollte ein Asset etwas mit „Informationen“ zu tun haben.
Diese könnten gespeichert, verarbeitet oder übertragen werden. Ein sehr gutes Indiz ist das Vorhandensein von Schnittstellen wie z.B. LAN-Kabel oder WLAN.
- Ist eine Tür ein Asset nach dieser Definition? Ich entscheide mich für „Nein“.
Warum? Weil eine Tür keine Informationen speichert, verarbeitet oder überträgt. Aber – die Tür ist doch sehr wichtig, weil sie den Zugang zum Serverraum verschließt? Ja – deshalb ist die Tür auch eher eine Schwachstelle, welche die eigentlichen Assets (Server, Datenspeicher, Netzwerk, …) beschützt. - Ist ein Mensch ein Asset? Ich entscheide mich für „Ja“.
Warum? Weil ein Mensch Informationen speichert, verarbeitet und auch weitergeben kann. Tatsächlich sind Menschen sogar sehr wichtige Assets und ein Asset muss nicht unbedingt technisch sein. - Ist eine Klimaanlage ein Asset? Ich entscheide mich für „unter Umständen“.
Warum? Eine Klimaanlage mit fest eingestellter Temperatur wäre für mich kein Asset. Besonders bezogen auf die Schutzziele der Vertraulichkeit, Verfügbarkeit oder Integrität. Vielleicht eher also eine Schwachstelle, weil sie ausfallen kann und dadurch die gekühlten Assets Probleme bekommen.
Aber – manche Klimaanlagen haben Schnittstellen zu einer „Überwachungs- und Steuereinheit“. Jetzt werden Informationen übertragen, um z.B. Betriebsdaten zu dokumentieren. Und nun könnte ein Angreifer diese Schnittstellen nutzen, um das System zu sabotieren oder sich darauf für einen Angriff „einzunisten“.
Ob etwas ein Asset im Sinne der Informationssicherheit ist oder nicht, hängt also von einigen Faktoren ab.
Nun hast du gelernt, wie du herausfinden kannst, ob ein Asset im Sinne der Informationssicherheit relevant ist oder nicht.
„Die Guten ins Töpfchen, die Schlechten ins Kröpfchen“ – so beginnt dein Assetmanagement.
Im nächsten Schritt solltest du weitere Aspekte berücksichtigen.
Bei der Suche nach Assets kann es hilfreich sein, sowohl „Top-Down“ als auch „Bottom-Up“ vorzugehen und die Ergebnisse zu kombinieren.
- Top-Down z.B. könnte man sich die schon definierten „primären Geschäftsprozesse“ näher anschauen.
Was benötige ich für diese? Räume, Maschinen, Menschen, Computer, Netzwerke?
Ich persönlich gehe dafür auch gerne einmal durch das Unternehmen und schaue mich um. In der Ecke steht ein Drucker, auf dem Tisch liegen Akten, Mitarbeitende hängen permanent am Telefon.
Wie immer gibt es nicht „den einen Weg“, sondern versuche einfach verschiedene Ansätze. So kann auch ein Interview der Teamleiter oder Führungskräfte viele wertvolle Informationen bringen. - Bottom-Up z.B. könntest du „Tools“ verwenden.
Es gibt „Netzwerkscanner“, DHCP- und DNS-Server, Switche und Firewalls (mit MAC-Adressen) – so findet man schnell die technischen Assets.
Am Anfang wird es verschiedene „Listen“ geben und das ist natürlich nicht perfekt.
Aber – es ist auf jeden Fall ein strukturierter Einstieg und du kannst dabei vieles über das Unternehmen erfahren.
War das schon alles? Nein – das Assetmanagement ist eine wichtige, wenn nicht sogar die wichtigste Säule der Informationssicherheit und es gibt dazu noch weitere Punkte, die ich ansprechen möchte.
Also freue dich auf den nächsten Tanzkurs in meiner Serie …
The tango is a dance of passion, precision and control, much like asset management, which requires precise control and management of assets.
I briefly considered how to continue my series, but asset management seems like the best next step.
What actually is an asset?
In short, everything in our world can be considered an asset. For information security, however, there is a very important aspect to this. Here, an asset should have something to do with ‘information’.
This could be stored, processed or transferred. A very good indication is the presence of interfaces such as LAN cables or WLAN.
- Is a door an asset according to this definition? I decide in favour of ‘no’.
Why? Because a door does not store, process or transmit any information.
But – the door is very important because it closes off access to the server room?
Yes – that’s why the door is more of a weak point that protects the actual assets (server, data storage, network, …). - Is a person an asset? I opt for ‘yes’.
Why? Because a person stores, processes and can also pass on information. In fact, people are very important assets and an asset does not necessarily have to be technical. - Is an air conditioning system an asset? I decide in favour of ‘under certain circumstances’.
Why? An air conditioning system with a fixed temperature setting would not be an asset for me. Especially in relation to the protection goals of confidentiality, availability or integrity. Perhaps more of a weak point because it can fail and cause problems for the cooled assets.
But – some air conditioning systems have interfaces to a ‘monitoring and control unit’. Information is now transmitted, e.g. to document operating data. And now an attacker could use these interfaces to sabotage the system or ‘nest’ in it for an attack.
Whether something is an asset in terms of information security or not therefore depends on a number of factors.
Now you have learnt how to find out whether an asset is relevant in terms of information security or not.
‘The good ones in the pot, the bad ones in the pot’ – this is how your asset management begins.
In the next step, you should consider other aspects.
When searching for assets, it can be helpful to proceed both ‘top-down’ and ‘bottom-up’ and combine the results.
- Top-down, for example, you could take a closer look at the ‘primary business processes’ that have already been defined.
What do I need for these? Rooms, machines, people, computers, networks?
Personally, I like to take a walk through the company and look around.
There is a printer in the corner, files on the table and employees are constantly on the phone.
As always, there is no ‘one way’, just try different approaches. An interview with the team leader or manager can also provide a lot of valuable information. - Bottom-up, for example, you could use ‘tools’.
There are ‘network scanners’, DHCP and DNS servers, switches and firewalls (with MAC addresses) – so you can quickly find the technical assets.
At the beginning there will be different ‘lists’ and this is of course not perfect.
But – it’s definitely a structured introduction and you can learn a lot about the company in the process.
Is that all?
No – asset management is an important, if not the most important, pillar of information security and there are other points I would like to address.
So look forward to the next dance class in my series …