users lounge

Der Podcast für mehr IT-Sicherheit

#66 Asset Management

Transparenz als Grundlage für sichere IT

10.04.2026 48 min

Zusammenfassung & Show Notes

Asset Management ist eine der wichtigsten Grundlagen für funktionierende IT-Sicherheit – wird in vielen Unternehmen jedoch unterschätzt. Unternehmen können nur das schützen, was sie auch wirklich kennen. Wir erklären, was alles zu einem Asset gehört, warum Schatten-IT zu den größten Risiken zählt und weshalb Asset Management ein kontinuierlicher Prozess sein muss. Wir zeigen auf, wie ein strukturiertes Asset-Inventar aufgebaut sein sollte und welche Rolle es für Informationssicherheit und Risikomanagement spielt.

Viele Sicherheitsprobleme beginnen mit einer einfachen Frage:
Wissen Unternehmen überhaupt, welche Systeme sie betreiben?

Asset Management ist deshalb eine der zentralen Grundlagen moderner IT-Sicherheit. Denn nur wenn Geräte, Anwendungen, Daten und Prozesse vollständig erfasst sind, können Risiken bewertet und Schutzmaßnahmen umgesetzt werden.

Wir sprechen darüber, was ein Asset wirklich ist, warum Schatten-IT ein großes Risiko darstellt und weshalb ein Asset-Inventar kontinuierlich gepflegt werden muss. Außerdem geht es um Struktur, Dokumentation und geeignete Tools, um Asset Management professionell umzusetzen.

Soundbites
  • Man kann nur das schützen, was man wirklich kennt.
  • Ein Asset ist alles, was im Unternehmen einen Wert hat.
  • Unbekannte Systeme sind oft die größte Sicherheitslücke.
  • Asset Management ist kein Projekt – es ist ein Prozess.
  • Assets existieren nie isoliert – sie hängen immer miteinander zusammen.
  • Eine Liste reicht nicht. Asset Management braucht Struktur.
  • Excel funktioniert am Anfang – aber irgendwann braucht man bessere Tools.
  • Ohne Asset Management gibt es keine echte IT-Sicherheitsstrategie.

Transkript

Michael
00:00:55
Bevor ich ins Loch falle, von dem, was wir gerade besprochen haben, starten wir mal die Aufnahme. Moin, René, ich grüße dich.
René
00:01:02
Moin, moin. Ich wollte gerade sagen, jetzt genug über 3D-Druck gesprochen, jetzt kommen wir mal von der Spielerei bei uns.
Michael
00:01:13
Genug Spaß, kommen wir mal zum Ernst. Aber ich glaube, über 3D-Drucker machen wir irgendwann auch mal so ein Erfahrungsaustausch-Ding und quatschen auch mal so ein Stückchen drüber.
René
00:01:22
Das können wir gerne machen, genau. Ja, herzlich willkommen in der users lounge. Wir haben uns heute mal ein Thema ausgesucht. Wir haben da immer wieder mal am Rande drüber gesprochen, haben es auch immer wieder genannt, aber heute wollen wir es mal wirklich als eigenes Thema behandeln. Und zwar geht es heute wirklich ums Asset-Management. Du bist ja ein klarer Verfechter davon, ich auch, so nicht. Aber wie gesagt, wir haben halt oft drüber gesprochen und heute wollen wir es halt wirklich mal komplett thematisieren, wo man dann einmal in die Tiefe sieht, was ist es, wofür ist es da und so weiter.
Michael
00:02:02
Ja, ich glaube, das macht Sinn, weil wir, wie gesagt, wir haben das ja jetzt schon ein paar Mal angesprochen, macht entscheidendes Management vom Asset-Inventarisiert etc. pp. Lass uns das mal zusammenfassen in der Folge und da mal jeden abholen und mal ins Detail so ein Deep Dive machen.
René
00:02:20
Genau. Ja, wenn man jetzt mal das Thema einfach sieht, Asset-Management ist halt die Grundlage jeder Sicherheit oder, wenn man es halt wirklich anders sagen will, und das hast du schon einige Male in den Episoden gesagt, man kann halt wirklich auch nur das schützen, was man wirklich auch kennt. Und ich weiß, dass da ist.
Michael
00:02:38
Das ist die Lehre vom Wissen und die Kontrolle zu haben in der Organisation, dass das sammelt und manifestiert sich im Prinzip alles in so einem Asset-Management drinnen und da geht es halt um ganz viel. Viele überlegen und sagen, ja, auch du wirst gleich von der IT-Seite kommen und wirst sagen, ja, Asset-Management, was sind denn, ich glaube, da sollte man anfangen, was sind denn eigentlich Assets im Unternehmen und über was machen wir uns jetzt Gedanken oder über was wollen wir ausarbeiten, weil es weit mehr ist wie nur der Server oder das Notebook.
René
00:03:16
Genau. Also da fängt, glaube ich, auch wirklich das Problem eigentlich erst mal an, dass man genau das halt festlegen muss, was ist jetzt ein Asset für mich. Und ja, im Grunde ist es eigentlich immer was Simples. Du hast es gerade gesagt, Server, Rechner, wie auch immer, also eine vollständige Übersicht über alle meine IT-Systeme oder auch Anwendungen. Also nicht nur die Hardware, die ich quasi anfassen kann, also wirklich alles, was ich einsetze.
Michael
00:03:45
Schön rein, schön rein, zurück. Was ist ein Asset? Ein Asset ist alles das, was in meinem Unternehmen einen Wert darstellt, womit ich den Zweck von meinem Unternehmen erbringe. Das ist ganz klassisch, was du gerade gesagt hast, Hardware, Server, Laptops, Smartphones, Drucker, Router, Switches, USVs im Prinzip. Wie war die Werbung früher? Alles, was einen Stecker hat, also alles, was irgendwie mit IT zu tun hat.
René
00:04:16
Alles, was eine IP-Adresse hat, sage ich immer.
Michael
00:04:17
Alles super, alles, was eine IP-Adresse hat. Dann ist das aber, ein Asset ist aber auch alles, was in der Software drin ist. Wir sind also neben dem IT-Inventar, wir packen uns mal die Geräte, sind wir halt auch, welche Software haben wir im Einsatz? Betriebssysteme, ERP-Systeme, CRM-Systeme, Office-Systeme. Vielleicht sogar, je nachdem, wie weit du das treiben willst, ist ein Browser-Plugin, sind aber auch Apps auf Diensthandys. Also alles das, was in meinem Unternehmen einen Wert darstellt, sprich alles das, was ich brauche, um in meinem Unternehmen vernünftig zu arbeiten, gehört dazu. Das heißt auf jeden Fall, was ist ein Asset? Auf jeden Fall alles, was Hardware ist, auf jeden Fall alles, was Software ist. Dann geht es weiter. In der heutigen Zeit wird das so oft vergessen. Alles, was ich an Software in Cloud-Systemen habe. Auch eine Cloud ist eine Software. Klingt zwar erst mal ein bisschen blöd, aber so kann man sich es, glaube ich, verinnerlichen. Also auch Software ist ein Service. So diese Confluence, Wiggys, OrgaVision, Personios dieser Welt, also alles das, was ich brauche, auch wenn es in der Cloud ist, ist ein Asset. Damit haben wir also auf jeden Fall die ganze Hardware, die ganze Software, alle Cloud-Systeme. Und dann kommen wir dahin, wo bei vielen Schluss ist. Wo viele sagen, ah klar, cool, Asset-IT, Haken dran. Jetzt geht es aber weiter. Wir haben gesprochen, alles, was für das Unternehmen einen Wert hat, Daten. Welche Daten habe ich in meinem Unternehmen? Und welchen Wert haben die, also jetzt machen wir nachher, welche Daten habe ich im Unternehmen? Garantiert Kundendaten. Die haben für mich einen Wert. Ohne meine Kundendaten, das ist mein Kundenstamm. Wäre schon blöd, wenn die Konkurrenz die eins zu eins kriegen würde. Das heißt, Asset ist Kundendaten. Dann habe ich üblicherweise so interne Informationen. Wenn man es weiter treibt, sind das Konstruktionspläne, sind irgendwelche Muster, irgendwelche Prototypen im TSAX-Bereich drin sind. Das heißt, Daten. Alles, was so Daten ist, ist definitiv ein Asset. Und was weitergeht, alle Prozesse, die ich in so einem Unternehmen habe. Das heißt, was ist ein kritischer Geschäftsprozess bei mir? Eins sind neue Dienstleister, Onboarding-Personal. Also was sind mögliche Prozesse bei mir, die kritisch sind? Und welche Dienstleister habe ich, die wirklich für mein Unternehmen reinpreschen und reinknallen und wirklich einen Wert im Unternehmen erschaffen, beziehungsweise an meinen Werten, sprich an meinen Assets arbeiten? Auch das sind Assets im Sinne der Informationssicherheit oder im Kontext der IT-Sicherheit. Und dann merkt man schon, ich könnte jetzt noch ein bisschen mehr aufzählen, aber du merkst schon, ein Asset-Management und die Kontrolle über Assets zu haben, ist weit mehr als die Liste, welche Computer wir im Unternehmen haben.
René
00:07:16
Ja, richtig. Und aus technischer Sicht, das muss man halt auch sehen, das ist ja die Basis für jede Sicherheitsmaßnahme, die wir dann ansetzen würden. Genau. Alles, was ich nicht kenne, kann ich auch nicht absichern. Das haben wir ja gerade eingangs schon gesagt. Und das Schlimme dabei ist halt, oder was heißt das Schlimme, aber es ist halt, das klingt immer so selbstverständlich. Also jetzt, wenn man es gehört hat, so, ja logisch, ich kann versprechen, dass es mit Sicherheit in 80 Prozent, wenn nicht 90, 95 Prozent aller Unternehmen Assets gibt, die nicht als solches benannt werden.
Michael
00:07:56
Ja klar, vollkommen normal. Aber das ist das, was ich meine.
René
00:08:00
Es ist immer so als selbstverständlich gesehen und, ah ja, logisch, klar. Ist manchmal nicht ganz so klar.
Michael
00:08:09
Ja, und da muss man sich auch hinsetzen. Und bei mir in der Beratung oder bei euch, wenn wir Asset-Inventar aufnehmen und wir besprechen so Dinge, hast du immer zwei Themen. Das erste Thema ist, fang mal ein, dass du erstmal guckst, rückwärts betrachtet, was haben wir denn jetzt alles und dann kümmere dich um einen Prozess oder um einen Vorgang, der sicherstellt, dass das auch aktuell bleibt. Sprich, kümmere dich um irgendwas, dass, wenn neue Assets ins Unternehmen reinkommen, es wird eine neue Software angeschafft, es werden neue Server angeschafft, es kommt ein neuer kritischer Dienstleister rein, etc., pp., dass irgendeiner sich darum kümmert und nimmt das wieder in dem Asset-Register auf, dass du eben mit dem Asset-Register aktuell bleibst. Pflegst du das nicht regelmäßig und hast du keinen Prozess, kannst du das Ding spätestens nach einem halben Jahr wieder in die Tonne und fängst wieder von vorne an, weil es nicht mehr aktuell ist. Das ist so.
René
00:09:02
Ja, also Aktualität ist natürlich eine Grundvoraussetzung für all das. Ein Paradebeispiel, du hast gerade ja auch Software as a Service gesagt, wie schnell kann das mal sein, dass man da was wechselt. So, aber meine Schutzmaßnahmen müssen sich ja dem neuen Asset quasi anpassen oder dem neuen Anbieter und dementsprechend, klar, muss es aktuell sein.
Michael
00:09:25
Ja, aber du kriegst halt, wir haben so viele Folgen schon gesprochen, wir hatten das Thema Schatten-IT, wir hatten das Thema, dass nicht irgendeiner sich in irgendwelche Cloud einloggt, wir hatten das Problem, wir hatten das Thema, dass nicht irgendwelche Mitarbeiter sich irgendwelche Accounts von Software as a Service Dienstleister anlegen können, wir hatten das Thema, dass keiner eigenmächtig irgendwelche Software von irgendwelchen Anbietern installiert und wenn du ein vernünftiges Asset-Management in deinem Unternehmen implementiert hast, mit einem gescheiten, vernünftigen, auch praktikablen und lebbaren Prozess, ich glaube, da sollte man auch mal einen Podcast drüber machen jetzt, wo ich gerade, das wäre mal eine Themenfolge, wäre Security versus Usability oder irgend so was, dass man da sagt, Security, aber nicht bis zum Ende, sondern irgendwo muss es händelbar bleiben. Aber wenn du das hast, dann erschlägst du mit diesem Prozess die ganzen Themen, die wir davor besprochen haben und alles das, wovor wir immer plädieren und machen, dass man sagt, verliere nicht die Kontrolle. Das kriegst du alles über ein zentrales Asset-Register rein. Richtig.
René
00:10:27
Ja, und wie ich gesagt habe, es ist ja oft so eine, es gibt immer irgendwas, was vergessen wird oder was heißt immer, aber zu einem hohen Teil. Und wenn man dann wirklich mal schaut, also ich meine, gerade habe ich gesagt, okay, wenn jetzt ein neues System reinkommt, viel schlimmer sind eigentlich die alten Systeme, die schon immer existiert haben, keiner mehr auf dem Schirm hat. Das ist das. Die laufen irgendwo im Hintergrund, keiner nutzt sie im schlechtesten Fall sogar noch. Das heißt, die stellen ja eine Sicherheitslücke quasi bei mir da und ich habe sie aber nicht erfasst, weil ich gar nicht mehr auf dem Schirm habe, dass sie da ist. Also auch da ist es ja schon wichtig. Also da gibt es ja verschiedene Dinge. Keine Ahnung. Lass es jemanden sein, der damals mal einen Exchange-Server hatte. So, der Server steckt jetzt irgendwo bei mir im Rack drin, wo 17 andere Server meinetwegen mit drin sind. Habe mir aber dann irgendwann überlegt, ach komm, wir wechseln in die Cloud und gehen jetzt ins 365, also zur Exchange Online. Aber der Server bleibt halt da. So, der wird nie irgendwann aus dem Schrank gezogen und dann irgendwann bei der ersten Erfassung dann, ja, also wir haben Exchange Online, sonst nichts. Ja, aber der Server ist ja noch da. So was kann halt schnell passieren. Deswegen, also gerade auch alte Systeme sind ein Riesenpunkt an der Stelle.
Michael
00:11:52
Wir sind, ich bin heute Regulatorische, wir sind immer wieder bei den Prozessen. Habe ich klar, ich habe einen Prozess, es kommt ein neues, bleib bei dem Beispiel. Ich habe klar, es kommt eine neue Software ins Unternehmen, soll eingeführt werden, Exchange Online. Welche aktuell verankerten Assets müssen betrachtet werden und was muss damit geschehen? Und dann, wenn du das Spiel sauber durchspielst, passiert ja das eben nicht, was du gerade erzählt hast, sondern es kommt was rein. Was löst das ab? Was passiert mit dem, was wir abgelöst haben? Inklusive Checkliste, Festplatte ausgebaut, Datenforense gelöscht etc. pp. Also diese gesamte Kette durch. Das ist aber ein Spiel, das musst du spielen wollen und das brauchst du. Ich wollte gerade sagen, das musst du spielen, ob du es willst oder nicht. Richtig, ja. Und da kannst du halt über ein Asset Management, kriegst du das halt wirklich sauber gesteuert und hast mit dem Management eine zentrale Position, wo alles zusammenläuft. Und da hast du genau das eben nicht mit dieser Schatten-IT und mit irgendwas. Und wir haben beim letzten Podcast, ganz kurz, wir hatten ja das letzte Podcast, dann guck halt mal mindestens, dass du irgendeine Software hast, die mal dein Netzwerk scannt und dir sagen kann, welche IP-Adressen denn im Netz drin sind. Vielleicht kannst du Endgeräte auslesen etc. pp. Du brauchst ein Monitoring von dem ganzen Kram.
René
00:13:18
Ja. Und ich finde beim Asset Management, also sagen wir mal, es wäre jetzt ein ganz plattes Asset Management. Ich habe mir eine Excel-Tabelle angelegt. Ist zumindest etwas, aber worauf ich hinaus will, ist halt für mich. Geht es darüber hinaus? Also diese Systeme stehen ja immer in irgendeiner Abhängigkeit, in irgendeiner Verbindung zueinander. So was sollte in so einem Asset Management auch dargestellt werden. Nehmen wir mal an, jetzt hier, der Exchange Server, der fliegt bei mir jetzt raus, weil ich ihn durch Exchange Online ersetze. Ja, dann sollte ich mir Gedanken machen, ob ich nicht dann auch dafür sorge, dass der Exchange Server aus meiner internen Domäne rausfliegt, weil er ja nicht mehr existieren wird. Das heißt, auch da, die Abhängigkeit, die muss man klar für sich auf dem Schirm haben. Und auch da, das ist, wie du gesagt hast, es ist ein Prozess, wo man sagt, okay, fliegt das raus, fliegt ein physikalischer Server aus meiner On-Prem-Umgebung raus oder ein virtueller Server, der damit verbunden ist, dann muss ich das auf dieser Ebene eben auch bereinigen. Genau. Und das sollte im Asset Management auch dargestellt werden.
Michael
00:14:31
Ganz klassisch über- und untergeordnete Assets. Ja. Asset-Daten, E-Mails liegen auf dem Server. Server liegt im Serverraum. So, und dann hast du die Kette und dann hast du es logisch. Und wenn du sagst, Exchange Server weg, klar, was passiert mit dem Assets-E-Mail? Zieht um in Exchange Online. Was bedeutet das wieder? Weil, lass uns kurz ein bisschen über dieses Asset-Register mal reden, um es ein bisschen plastischer zu machen. Das heißt, du erfasst grundsätzlich, so mache ich es, das ist gelebte Praxis, es darf jeder anders da machen oder es darf gerne mit Varianten arbeiten. Aber für mich ist schon mal wichtig, erstmal kriegt jedes Asset eine eindeutige ID. Also es kriegt eine eindeutige Kennung. Wegen mir von A001 bis A999. Mir ist das vollkommen egal.
René
00:15:24
Im Optimalfall hat man diese Bezeichnung oder diese Nummerierung auch auf den Geräten noch irgendwo vermerkt. Per Label oder was weiß ich was.
Michael
00:15:35
Genau, weil der große Vorteil ist, wenn du denen einmal eine eindeutige ID gibst, dann ist alles, was wir in die Netzwerke, wie die Geräte heißen, wirklich, wie kann ich sie identifizieren? Wenn ich eine einmalige ID habe, kann ich auf allen anderen Objekten und Systemen einfach darauf verweisen und auch Abhängigkeiten sauber beschreiben. ID 16 ist abhängig von ID 36, 49 und 48. Weil ich dann einmal eine eindeutige Kennung habe. Das bedeutet, ein Asset bekommt immer eine eindeutige Kennung. Das ist bei mir klar. Dahinter steht, was es ist. Wenn es ein Server ist, schreibe ich da auf jeden Fall nochmal die Seriennummer auf. Also nochmal eine eindeutige Kennzeichnung, weil die wenigsten Unternehmen haben nur einen Server, sondern da stehen mehrere runter.
René
00:16:29
Und nicht nur wegen der Eindeutigkeit, sondern auch, ich kann dann auch mal die Hardwarespezifikation nochmal nachschauen anhand der Seriennummer. Klar, wenn ich nochmal was nachgesteckt habe, dann sollte ich es nochmal gesondert notieren. Aber ansonsten, in der Standardauslieferung, dann kann ich mir das über die Seriennummer auf jeden Fall auch nochmal holen.
Michael
00:16:53
Ja, ganz, ganz wichtig. Dann hast du das. Und dann hast du, wir sind ein bisschen informationssicherheitstechnisch lastig heute, klassisch Verfügbarkeit, Integrität, CIA. Ganz klassische CIA-Bewerbung. Vertraulichkeit. Ja, genau. Ganz klassisch die Vertraulichkeit damit. Das heißt, wie schützenswert ist dieses Asset, was ich da habe?
René
00:17:16
Ich finde es ein bisschen witzig, dass du gerade nur das Kürzel genannt hast, CIA, und dann von Vertraulichkeit sprichst.
Michael
00:17:25
Bei Amerika. Wort, Wort, Wort, Findungsstörung zum Freitagvormittag. Nein, Spaß beiseite. Also, du hast hier die drei Grundwerte der Informationssicherheit und nach denen guckst du dir alle drei Dinge an. Und dann hast du im einfachsten, hast du von, ist mir egal, bis die Welt geht unter. Klassifizierst du dir das sauber rein, suchst du dir Stufen aus, das kannst du mit drei machen, das kannst du mit fünf machen, das kannst du mit vier machen. Also, du überlegst dir irgendwas und danach kannst du dir diese Assets aufteilen. Und dann weißt du ganz genau, wie kritisch das Asset ist in Bezug auf. So, und daraus kannst du so viele tolle Maßnahmen ableiten. Kommen wir gleich zu. Aber bei Vertraulichkeit kannst du sagen, da muss eine Multifaktor-Identifizierung dran, da musst du vielleicht auch mit Passkeys arbeiten. Bei der Verfügbarkeit kannst du dein Backup-Konzept dranhängen, bei der Integrität kannst du dranhängen, ob du irgendwelche Logfiles mitspeicherst. Also, du kannst da so viel hinten dranhängen, wenn du das einmal sauber erfasst hast. Das heißt, in so ein Asset-Register gehört für mich immer rein die ID, die Bezeichnung, die Klassifizierung nach CIA-Kriterien und dann kannst du, ja genau, Asset-Owner, jeder, jedes Asset hat einen Asset-Owner. Und was rein kann oder was rein sollte, ist, wir hatten das vor einem halben Jahr mal, das Thema mit, wann habe ich es angeschafft? Wann wäre mein End-of-Life für das Produkt?
René
00:18:49
Ja, Lifecycle-Informationen.
Michael
00:18:52
Klassisch Lifecycle-Informationen, dass ich mal so ein richtig sauberes Ding habe und habe eine richtig schöne Übersicht. Das Ganze klassifiziere ich mir vorneweg. Das ist eine Software, das ist ein IT-System, das ist ein Server, das ist ein irgendwas. Dann fange ich an und baue mir einfach, wie du gesagt hast, wenn es unbedingt sein muss, in Excel eine Tabelle aus. Ja, aber die muss ich haben. So ungefähr sieht das aus.
René
00:19:15
Ich würde mehr als Excel empfehlen. Ja, ich meine, es ist so, also ich habe auch das. Es ist jetzt schon ein paar Jahre her bei einem Kunden, der hat damals auch alle seine Geräte in einer Excel-Tabelle gepflegt. Da steht halt alles untereinander weg und es ist irgendwie. Also ich finde, wenn man gut damit arbeiten möchte, wäre es schön, wenn es eine grafische Darstellung gibt, wo man dann sagen kann, okay, so ist auch grundsätzlich das Netzwerk aufgebaut. Es ist sehr leicht erkennbar, welches System mit welchem in Verbindung steht und es macht vieles einfacher. Und wenn wir immer davon sprechen, dass wir Arbeiten nicht doppelt machen müssen, dann ist am besten mein Asset-Management auch ein Stück weit mit meinem Netzwerkstrukturplan verbunden, damit das alles einfach nur einmal Arbeit ist. Und dann habe ich es aber an vielen Stellen, wo ich es weiter nutzen kann.
Michael
00:20:08
Genau. Dann kannst du das klassisch noch aufpumpen, kannst noch Softwarestände mit aufnehmen, also Patch-Level kannst du noch mit reinnehmen. Wie oft du es patchen willst, das kannst du jetzt wieder an deine Kriterien halten. Also wenn du diese CIA-Einteilung gemacht hast, kannst du wieder sagen, wie wichtig habe ich die Notwendigkeit, um irgendwelche Patches einzufliegen, wie mache ich das, wie kontrolliere ich das. Alles das kriegst du halt in so eine, wenn es, wie gesagt, gerne in normale Inventarübersicht, aber zur Not halt, meine Güte, ja, halt Excel. Aber Excel ist halt Excel.
René
00:20:46
Ja, Tabellenkalkulationen.
Michael
00:20:49
Wir werden da keine Freunde mehr werden.
René
00:20:53
Ja, gut, ich meine, Excel ist gut für das, was es ist. Aber es kann ein Einstieg sein, damit man erstmal überhaupt was hat. Das wird schon mal helfen im Gegensatz zu ich habe nichts. Aber wenn man es vernünftig machen möchte oder wirklich vernünftig machen möchte, dann macht man es mit einem entsprechenden Tool, was genau das darstellt.
Michael
00:21:11
Und du brauchst das ja. Wir haben eben von Abhängigkeiten gesprochen. Du musst es ja am Ende haben. Du musst ja wissen, was du halt auch da drin stehen hast. Im Idealfall ist, wo befindet sich das Asset? Also Assetserver befindet sich im Serverraum. Assetpersonaldaten, meinetwegen auf einem anderen Server. Asset-Wiki in einem Confluence in der Software-Asset-Service-Lösung drin. Also wo liegt mein Informationswert? Ja, Informationswert, Informationsträger. Also wo liegt das dann Zeug? Und spätestens dann macht es ja wirklich Sinn, so eine Visualisierung zu haben, dass du dich so ein Stück weit orientieren kannst. Dass du weißt, wo befindet sich das denn jetzt und wie kann ich es vernünftig verorten?
René
00:21:56
Ja, genau. Also wie ich ursprünglich ja schon mal gesagt habe, nur wenn man das hat. Das ist meine Basis für Sicherheitsmaßnahmen. Und du hast es gerade schon genannt. Nehmen wir mal beispielsweise das Patchmanagement. Ja, ich kann nur patchen, wo ich weiß, dass es da ist. Genau. Das hatten wir. Also das Paradebeispiel. Wir haben vor einigen Episoden über Edge Computing gesprochen. Und das ist eigentlich das Paradebeispiel dafür, weil das Gerät bei mir im Netzwerk quasi erst mal gar nicht aktiv ist. Das Gerät, also klar arbeitet es, aber es ist meinetwegen an einer Maschine und schickt Daten nur in die Cloud. Das heißt, mein eigenes System hat erst mal noch gar nicht Kontakt damit, sondern ich bekomme dann nur die Informationen, die gefiltert in der Cloud ankommen. Es ist also extrem wichtig, dass wir diese IoT-Geräte, die da irgendwo überall stecken mögen, dass man eben genau die auch mit erfasst, damit man da auch IoT-Geräte findet, ist das Paradebeispiel für genau das. Weil die melden sich halt nicht hier im Moment, ich habe ein Auto-Update, da hau mal raus. Sondern da musst du dich schon drum kümmern. Ja, und dann geht es ja eigentlich weiter. Also ich sage mal, das war jetzt Patchmanagement. Aber wir haben genauso Schwachstellenmanagement, wenn wir dann so ein Scan starten wollen. Wenn wir so ein Sicherheits-Scan starten wollen, ja, das kann ich auch nur auf den Geräten machen, die ich auch wirklich in das System aufnehme. Und die kann ich nur aufnehmen, wenn ich weiß, dass sie da sind. Ja, und ich glaube, das hatten wir ja gerade auch gesagt, wenn wir jetzt organisatorisch, ja, du hast gerade schon ein bisschen was dazu gesagt, aber die Verantwortlichkeit ist sicherlich auch ein Thema. Wenn wir das nicht notiert hätten, du hast ja gesagt, dein Asset-Owner, den gibt es ja im Dokument. Wenn wir das nicht festlegen, dann fühlt sich auch wieder keiner verantwortlich. Also es gibt ganz einfach, wir arbeiten mit Ticketsystemen und bei uns gibt es halt eine Regel. Tickets ohne Zuordnung gibt es nicht, weil da macht sie keiner, logischerweise. Und Tickets mit vielen Zuordnungen machen wir auch nicht, weil da macht es auch keiner. Also nicht falsch verstehen, das beziehe ich jetzt nicht auf unsere Mitarbeiter, sondern es ist ein generelles Thema. Es muss jemand klar definiert bekommen, du bist jetzt verantwortlich, diese Aufgabe zu lösen, an welcher Stelle auch immer.
Michael
00:24:29
Dein Asset, du bist verantwortlich. Du pflegst, du wartest, du kümmerst dich ums Patch. Du bist der, der am ehesten und am meisten über das Ding Bescheid weiß und sich kümmern kann. Du bist der Asset-Owner. Das ist eine super wichtige Sache, weil sonst fühlt sich am Ende echt wieder keiner verantwortlich, wie du das gerade beschrieben hast. Zu viele geht auch in die Hose. Dann gibt es das klassische, schön, dass es ein anderer macht. Das sind so viele Leute. Einer wird sich schon kümmern, da muss ich mich jetzt auch noch mit rumärgern. Und auf der anderen Seite, wenn nichts drinsteht, packt sicher auch keiner freiwillig das Neppchen und sagt, naja, wenn da sich noch keiner drum gekümmert hat, ich habe dann mal Zeit, dann schaue ich mir es an. Das wird auch nicht passieren. Von daher ein Klassiker. Es muss ein Owner sein. Persönlich bin ich ein Freund davon, auf Abteilungen zu gehen und dann entsprechend zu sagen, ist der Abteilungsleiter. Aber es ist eine individuelle Sache. Auf gar keinen Fall ist ein Endbenutzer-Notebook auf eine Abteilung gemünzt, wohingegen schon ein paar Server und ein paar Sachen ich auf die IT-Abteilung schieben würde.
René
00:25:39
Ja, absolut. Aber da würde ich auch nicht sagen, ey, komm, hier ganze Abteilung. Sondern auch da sollte es namentlich jemanden benannt haben, damit im Zweifel immer diese Person verantwortlich ist. Ob sie es dann delegiert und dafür sorgt, dass es läuft, ist nochmal dahingestellt. Aber grundsätzlich liegt es in der Verantwortung dieser Person. Bei Asset Management, man denkt immer so mehr an so ein technisches Thema. Wir haben jetzt in den letzten Wochen eigentlich schon herausgestellt, dass es eigentlich immer weniger technisch ist. Eigentlich ist das immer wieder mehr organisatorisch, Informationssicherheit und so weiter. Michael, es gibt ja auch genug Vorgaben, also ich sage mal Compliance, die genau das fordern. Nenn doch mal welche, wo du sagst, das sind die bekanntesten.
Michael
00:26:40
Ich müsste jetzt überlegen, wenn ich dir was nennen müsste, wo es nicht drin ist. Weil ganz egal, wo du reingräbst in die Sache, so ein Asset-Register und eine Asset-Übersicht brauchst du auch.
René
00:26:53
Und wo ist es denn nicht drin? Dann sag mal.
Michael
00:26:55
Ich wollte es gerade sagen. Ich müsste jetzt schwer überlegen, wo es nicht drin wäre. Auf jeden Fall kein Betätigungsfeld, wo ich unterwegs bin. Also egal, ob es ein 27001 ist, egal, ob es ein TSACS ist, ob wir über den S2 reden, ob wir über ein VDS reden. Wir reden auch im Datenschutz über solche Systeme. Das sind datenverarbeitende Systeme. Das gucke ich mir zumindest da auch auf jeden Fall immer mit an. Das schiebt alles auf ein Asset-Register. Es geht immer um Werte. Es geht immer um Inventarisierung. Es geht immer darum zu wissen, was brauche ich in meinem Unternehmen, damit ich meine Arbeitsleistung bringen kann. Wovon bin ich abhängig? Was stellt einen Wert dar? Und dann ist es auch immer die klassische CIA-Klassifizierung, um zu bewerten, was ich mit dem Asset am Ende tue oder wie ich den Umgang mit diesem Asset regle. Von der Compliance-Kiste bist du überall mit drin. Ein bisschen mehr, einmal mehr, einmal weniger, einmal tiefer. VDS kennt nur unkritische und kritische Asset. Denen sind nur die kritischen wieder wichtig. CSAX 27, die wollen alles bewertet haben in unterschiedlichen Ausprägungen. Da greifst du überall rein.
René
00:28:12
Jetzt könnte man mal darüber diskutieren, warum das Asset-Management dafür wirklich so entscheidend ist. Aber ich glaube, das ergibt sich aus dem Gespräch, das wir jetzt gerade schon geführt haben. Zum einen sind Sicherheitsmaßnahmen klar. Wenn wir jetzt in ein Asset-Management gehen, ist das Risikomanagement, die ja auch Bestandteile in diesem Compliance sind, und so. Überall dafür ist das Asset-Management die Grundlage. Deswegen ist es ein zentraler Baustein. Da ist es egal, in welche Richtung wir gehen. Ohne das funktioniert es nicht. Und selbst als Techniker muss man ja auch sagen, jetzt könnte ich sagen, ich stelle es da halt hin und dann richte ich das schon ein. Ja, aber trotzdem schaffe ich ja irgendwie wieder Verbindungen zueinander. Und die kann ich ja auch nur vernünftig darstellen, wenn ich weiß, was da ist. Also dementsprechend auch für die reine technische Umsetzung ist es mitentscheidend, dass man das weiß.
Michael
00:29:11
Ja, jetzt geht es nicht. Aber ich wollte gerade noch mal sagen, bei der technischen Umsetzung. Keiner ist mehr gezwungen, durch das Unternehmen zu rennen und zu gucken, an welchem Gerät ein Netzwerkstecker dranhängt. In der Regel kann man durchaus noch mal so ein paar Spotchecks machen. Ansonsten nehmt etwas Automatisiertes, sucht euch irgendwas, macht mal einen Netzwerkscan. Da gibt es auch schon mal Anhaltspunkte. Und auch das, kleiner Spaß oder kleiner Abmahl komplett weg aus Unternehmen. Macht mal bei eurer privaten Fritzbox oder bei eurem privaten Ding die Benutzeroberfläche auf und überlegt euch mal, ob ihr alle WLAN-Verbindungen, die da drin sind, klar euren Geräten zuordnen könnt. Das ist im Prinzip mal komplett weg, aber es ist mal ein Praxisbezug drin. Es ist komplett was anderes, aber genau darum geht es. Also kenne deine Geräte. Ja, wenn du da irgendwie siehst, dass da 98 Dinger drin sind, überleg dir mal, was das alles ist. Ich meine, es kommt schon eine ganze Menge zusammen, wenn du die Roboters und Alexas und Thermomixer und weiß der Teufel noch alle unintelligenten Waschmaschinen dieser Welt. Es läppert sich, aber kenne das, um einfach sicherzugehen, dass nicht irgendeiner auf deinem Netzwerk drauf ist, der da eben nicht drauf soll. Und sehr ähnlich ist das halt hier auch. Das heißt, nach dem Scan guck dir halt an, ob du weißt, was das ist.
René
00:30:45
Ja, ich muss aber dazu sagen, ja, du hast recht. Also einen großen Teil, den kann man scannen, den kann man auch automatisch inventarisieren lassen. Wo es nicht funktioniert, sind SaaS-Lösungen. IaaS wird in der Regel, also Infrastructure as a Service, also wirklich Umgebungen in der Cloud, die werden in der Regel per VPN direkt angebunden. Okay, dann hat man wieder eine IP-Adresse dahinter. Beim SaaS-Anbieter, okay, das ist eine Website, die habe ich nicht zwingend bei mir angebunden. Dementsprechend, das würde ich nicht sehen. Da müsste man dann manuell noch ran. Aber ja, du hast recht. Alles, was wirklich physisch in meinem Unternehmen ist oder eine Verbindung zu meinem Unternehmen herstellt, da kriege ich die Informationen über so ein Auto-Asset-Management-Tool auf jeden Fall raus.
Michael
00:31:33
Software as a Service kriegst du nur organisatorisch mit, indem du die Disziplin hast, hast du die Benutzerzugänge. Entsprechend zentral regelt es, dass du eine gelebte Kultur hast, dass nicht einer irgendwo irgendwelche Zugänge anlegt etc.
René
00:31:50
Ja, auch im Netzwerk, du hast es gerade gesagt, also wenn wir jetzt mal diesen Scan nehmen und wir scannen jetzt alles durch und das ist halt nichts, was wir jetzt einmal fürs Asset-Management machen sollen oder sollten. Es gibt genug Unternehmen, die auch ihr internes WLAN noch verteilen, damit der Externe da mal eben Internet hat, anstatt einen gesonderten Bereich dafür zu schaffen. Gibt es aber, du weißt es auch. Also wenn man irgendwo unterwegs ist, das findet man schon hier und da noch und auch da. Also man sollte entweder mit unterschiedlichen Arten des Zugangs arbeiten, also nehmen wir mal WLAN jetzt, dass man sagt, ich habe unterschiedliche Vouchers, die entsprechend lange gelten, also für interne Geräte meinetwegen 300 Tage, aber da brauche ich auch wirklich eine virtuelle Trennung, dass es keinen Zugang zum internen Netzwerk gibt. Das ist natürlich die Grundvoraussetzung dafür. Physisch trennen oder beziehungsweise virtuell so, dass es gar nicht erst das gleiche Netz ist, ist natürlich noch viel besser. Aber wenn ich das jetzt so machen würde, alleine deswegen oder dass mal jemand ein Kabel irgendwo in der Dose steckt und da ein Gerät anschließt, das sollte immer wieder stattfinden, damit man da auch wirklich eine Sicherheit drin hat, dass da nur die Geräte drin sind, die da reingehören. Und die kann ich nur mit meinem gut gepflegten Asset Management abgleichen, um es mal genau andersrum dann jetzt zu drehen. Also wenn ich das schon habe, dann kann ich auch wieder sehen, welche Veränderungen es zum letzten Mal gab und dann kann ich gezielt auf diese Änderungen eingehen und sagen, okay, irgendwas steckt da, das gehört da gar nicht hin und dann kann ich mich darum kümmern.
Michael
00:33:47
Wobei dein Anspruch ist ja, dass du nur bekannte Geräte im Netzwerk hast und du das technisch so sicherstellst über Radioserver oder irgendwas auch immer, dass du das so sicherstellst, dass da nicht irgendein Fremder irgendein Kabel reinsteckt und plötzlich mit seinem Notebook online ist.
René
00:34:04
Das sagen wir immer, das ist der Optimalfall. In der Praxis wissen wir aber auch beide aus der Beratung, wenn du irgendwo ins Unternehmen gehst, du wirst immer mal was finden. Nicht in jedem Unternehmen, das wäre jetzt gelogen, aber es gibt doch schon das eine oder andere, was man da findet, was da einfach eigentlich nicht hingehört. Nein, nicht eigentlich. Ja, was da nicht hingehört, aber irgendwer hat sich ja gedacht, doch, das brauche ich jetzt hier. Ob es jetzt ein Radio ist oder was weiß ich.
Michael
00:34:32
Ja, ich habe mir nochmal überlegt, ich mache hier nochmal drei Alexas und fünf Raspberries in die Ecke, weil dann habe ich es einfacher und habe die Kosten daheim nicht. Die Datenleitung in der Firma ist schneller, deswegen gucke ich mal an dir, dass ich das runterkriege. Also wie gesagt, da aufpassen. Alles bildet aber die zentrale Assetmanagerin ein. Ich wollte gerade sagen, jetzt haben wir beide die gleiche Gretchenfrage. Wenn das so wichtig ist und wir das schon durch so viele Folgen immer hypen und jetzt auch nochmal darüber reden, warum finden wir so oft kein richtiges tolles Assetmanagement vor? Das heißt, warum vernachlässigen das so viele Unternehmen und behandeln das stiefmütterlich? Das war zumindest das, was mir gerade auf der Nase lag. Vielleicht war es das Gleiche wie bei dir.
René
00:35:35
Nicht ganz das Gleiche, aber es wäre in die Richtung. Das ganze Thema erinnert mich an IT-Dokumentationen. Wir haben ja schon mal über die Dokumentation an sich gesprochen. Daran erinnert mich das und deswegen wollte ich eine ähnliche Frage auch stellen. Also grundsätzlich glaube ich, kann man sich das recht einfach beantworten. Ist es Papier zum einen? Ist es nichts, was ich direkt sehe? Ja, ich weiß, digital. Mir ging es jetzt nicht um das Blatt Papier, sondern wenn ich vom Papier spreche, ob es jetzt ein Word-Dokument ist oder ob ich jetzt... Egal. Also es ist halt etwas, was erstmal im ersten Augenblick keinen Mehrwert an Systemen bringt. Klar, für den, der es nachher anwendet, für meine Sicherheit und sowas, da definitiv. Aber eingangs ist es erstmal Arbeit. Und Arbeit versucht man zu vermeiden. Arbeit zieht Arbeit nach. Genau. Also es ist halt kein sichtbares Tool. Es ist halt nicht sichtbares. Und dementsprechend ist es halt oftmals, dass es eben zum einen verdrängt oder vergessen. Vergessen hört sich immer doof an, weil vergessen wird das sicherlich nicht. Alle wissen zumindest, ich müsste mal machen, machen sie aber nicht. Aber wie gesagt, ich würde nicht sagen vergessen, aber so ein bisschen verdrängt. Ich weiß, wir müssen das machen, aber es läuft ja. Es läuft ja. Das ist, glaube ich, oftmals ein Punkt.
Michael
00:37:07
Ja, ich denke, es ist bei vielen, vielen ist zum Thema Asset Management nicht klar, wie weitreichend das geht. Der ITler sagt, naja, dann lege ich mal drei Server an und was der Kall für ein Notebook gekriegt hat, haben wir auch irgendwo noch niedergeschrieben. Das weiß ich noch. Das war so ein dunkelblauer. Aber das wird sich im Asset Management richtig gut machen.
René
00:37:33
ID 327 dunkelblau.
Michael
00:37:37
Owner Kall Bezeichnung Notebook dunkelblau. Und es ist halt mehr, weil wir haben von Prozessen gesprochen, wir haben von Software gesprochen, wir haben von Dienstleistern gesprochen, die da vielleicht einen Einfluss mit drauf haben und mit reingehen. Das ist halt, wir sind wieder bei dem Thema, das tangiert und betrifft den ITler, aber der ITler ist es eben nicht alleine. Das ist halt wieder so ein Thema. Wir drehen uns immer wieder, es ist immer eine Zusammenarbeit, eine Kooperation und ein Teamwork aus Abteilungen, Geschäftsführer und IT-Abteilung. Es sind immer mehrere Zahnräder und bei so einem Asset siehst du das halt immer wieder deutlich. Und wenn ein Zahnrad das schleifen lässt und es von einer Abteilung nicht rüberkommt, wir sind eben bei den Verantwortlichkeiten gewesen. Es muss klar sein, wer sich um welche Asset-Kategorie kümmert. Es muss klar sein, wo es zentral abgelegt wird. Und es ist halt wirklich kein sexy Thema, sondern es geht halt eher um grundlegende Strukturarbeit. Das ist so, was ich sage oder was ich denke.
René
00:38:55
Das wird natürlich nach hinten geschoben, oder? Ja, du hast auch völlig recht. Gerade auch dadurch, dass Asset-Management immer alleine in der IT gesucht wird, ist ein Problem. Und dann muss man auch sagen, wie in der Dokumentation auch, ITler schreiben nicht gerne. ITler wollen helfen, wollen das einfach durchführen, was zu tun ist. Das sind so die zwei Sachen, die dazukommen. Das heißt, auf der einen Seite der ITler, der es ungern macht. Vielleicht hat er auch einfach wenig Zeit. Das kann auch ein Punkt sein. Und auf der anderen Seite, dass halt auch alle anderen Prozesse dort gar nicht erst erfasst werden, weil man halt sagt, das ist ja nicht IT-bezogen. Das ist ja egal.
Michael
00:39:40
Ja, aber dann sind wir doch wieder bei dem Thema. Das hatten wir ja schon mal. Da war ein Thema Schwachstellenmanagement schon drin. Dann brauche ich halt ein Tool. Also keiner erwartet, dass da ITler einmal die Woche mit so einer Klatte, mit einem Stift und einer leeren Excel, die ausgedruckt worden ist, durch die Firma läuft und die Notebooks zählt und die Netzwerkdosen prüft, ob sie gepatcht sind oder nicht. Sondern da brauche ich halt Mechanismen, die mich unterstützen, transparenter und besser zu werden. Weil eins ist auch klar. Ohne Asset Management, ohne Dokumentation läuft es halt nur so lange gut, bis irgendwo ein Problem auftaucht. Und die Probleme sind vielfältig. Ob das jetzt ein Hack ist, ob das ein Angriff ist. Wir haben einen Angreifer, der ist bis dahin gekommen. Was konnte er für Assets bis zu diesem Punkt von uns kriegen? Habe ich eine Asset-Übersicht? Habe ich Abhängigkeiten? Klack, der ist in dem Netzwerk drin. Nur da hat er zugegriffen. Da sind meine Firewalls. Das war isoliert. Da liegen diese Daten. Diese Daten hatten diese Kategorie. Das ist passiert. Ich kann ja ganz genau mehr benennen, was im Vergleich zu einem Server passiert. Du verstehst, was ich meine. Du brauchst das und spätestens, wenn es mal ein Problem auftaucht. Oder nehmen wir ein anderes Problem. Der ITler geht in seinen wohlverdienten Ruhestand. Oder er sucht sich ein anderes Unternehmen. Die Abteilung wird größer, es werden mehr Personen eingestellt. Im Kopf kriegst du es nicht vermittelt. Du musst es irgendwo niedergeschrieben haben und es muss klar sein. Das ist so fundamental, über was wir reden. Das Asset Management. Da gehen wir wieder rüber. Ein neuer Mitarbeiter, der im Büro anfängt. Welche Systeme werden im Büro eingesetzt? Welcher Mitarbeiter hat Zugriff? Welchen Zugriff muss ich ihm geben und auf welche Software? Da haben wir schon so oft immer wieder das Fundament Asset Management. Personio, Software as a Service, Zugriff, Personalabteilung mit Key-User-Rollen, Mitarbeiter, Zugriff, Mitarbeiterrollen. Dann ist klar, ein neuer Mitarbeiter kommt rein. Wir haben die Software. Der kriegt die Rechte rein. Der kann sich seine Daten angucken. Kommt in der Personalabteilung einer rein. Höheres Level, Sichtbarkeit, Bearbeitungsrechte. Das kriege ich aber nur hin, wenn ich es vernünftig in einem Asset Management zentral erfasst habe. Und wir reden über das Asset Management, die zentrale Erfassung. Wenn ich fünf Tabellen habe und habe eine IT-Tabelle und eine Software-Tabelle und eine Wertetabelle und eine Datentabelle in unterschiedlichen Abteilungen, die ich theoretisch wieder zusammenwerfen kann, ist auch das ein Asset Management. Das muss nicht die eine sein oder die eine Software. Aber das ist so fundamental, aus meiner Sicht.
René
00:42:39
Aber eine gute Sache hat das ganze Jahr und das, um einigen vielleicht den Schreck wieder ein bisschen zu nehmen, es muss nicht wirklich sofort ein perfektes Asset Management sein. Man muss halt einfach erst mal starten und die wichtigsten Informationen erfassen. Und dann darf es, wie wir vorhin schon mal gesagt haben, vielleicht auch mal mit Excel starten, dass man erst mal Informationen erfasst. Irgendwann, wie gesagt, ist der Übergang oder empfehlen wir den Übergang dann in ein entsprechendes Tool, was halt all das, alle Eventualitäten dann entsprechend auch darstellen kann. Aber das ist erst mal wichtig, dass man da überhaupt startet.
Michael
00:43:23
Startet und startet mit den Dingen, die am meisten wehtun. Also formal wieder ausgesetzt, kritische Assets, kritische Infrastruktur, zentrale Anwendungen, der Server, so er dennoch im Unternehmen existiert, die Cloud, wo wichtige Daten synchronisiert werden, das ERP-System, das Backup, also all diese Dinge. Fangt mit den wichtigen Dingen an und arbeitet euch nach unten ganz entspannt durch. Und perfekt ist es nie. Du wirst auch die Illusion, so ein Stück weit, je nachdem, wie das machst, rennst du immer hinterher. Und wenn es nur ist, du hast schon eine neue Software freigegeben und das ist schon alles erledigt oder hast eine neue IT gekauft, das ist alles schon fertig, du hast die Daten schon aufgenommen. Du brauchst halt jetzt nur noch das aktuelle Asset-Register und hast es eben auch in der Ecke liegen, weil du machst, das gucke ich mir nächste Woche an, wenn ich Zeit habe. Also du wirst das nie in einem Perfektzustand haben. Aber nur weil ich es nicht perfekt kriege, zu sagen, dann lasse ich es, ist halt auch komplett falsch.
René
00:44:26
Ja, absolut. Und das muss man ja auch sagen. Ich meine, am Ende des Tages, wir sind ja hier auch sehr Security-lastig. Es ist das Gleiche wie in der Security. Es ist ja nicht so, dass wir eine Schutzmaßnahme einführen gegen einen Angriff, den es noch nicht gibt. Das heißt, eigentlich gibt es immer den Angriff und dann setzen wir eine Maßnahme drauf, damit dieser Angriff nicht erfolgreich ist. Ähnlich ist es halt im Asset-Management. Ich kann natürlich nur erfassen, was halt auch schon da ist oder was jetzt in ganz kurzer Zeit dazukommt. Aber mehr als das kann ich nicht machen. Ich habe keine Kristallkugel und mache das für zwei Jahre schon mal fertig und dann passt das schon. Das klappt halt nicht. Michael, du wolltest was sagen.
Michael
00:45:17
Ich wollte halt einfach nur noch mal so schon vielleicht als Fazit oder Beginn eines Fazits rauswerfen, dass ich glaube, es ist ziemlich deutlich rübergekommen, dass ich es mega wichtig halte, sich sowas aufzubauen. Es klingt zwar am Anfang so ein Stück nach einem Verwaltungsapparat und Hilfescheiße, schon wieder Dokumentation, aber es ist halt ein mögliches Tool, finde ich.
René
00:45:43
Ja, am Ende des Tages kommen wir wieder zu dem Satz, den wir ganz zu Anfang schon hatten. Wenn wir das wie immer auf Security und sowas auslegen und darauf sollte sowas ja auch mit zielen. Man kann nur schützen, was man kennt.
Michael
00:45:59
Transparenz. Ich meine, das sind so die Passwörter, die wir immer raushauen an der Stelle. Es geht halt nur zusammen und das Transparent schafft halt einfach da Wissen und Möglichkeiten zu schützen und zu reagieren.
René
00:46:17
Michael, von meiner Seite aus wäre alles gesagt. Ich weiß nicht, wie es bei dir aussieht, aber du hast das Fazit eingeläutet. Also dementsprechend gehe ich davon aus, dass du es auch so siehst.
Michael
00:46:26
Genau. Für mich war das jetzt auch, das war einmal eine Viertelstunde Druckbedankung, Assetregister. Es ist ein heißes Thema beziehungsweise schon ein komplexes Thema, wenn da noch mal Fragen bestehen sollten, wenn noch mal irgendeine Detailinformation haben will, vielleicht auch mal so ein Muster haben, wie so ein Assetregister aussehen kann, was man da maximal reinwerfen sollte. Schreibt René an, schreibt mich an, dann schicken wir mal eben was raus. Das soll das Problem nicht sein. Und ansonsten bleibt mir der Appell, fangt an mit dem wenn ihr es noch nicht habt, versucht die Werte aufzunehmen. Schafft euch selbst im Unternehmen die Transparenz über Werte und Assets im Unternehmen, um vernünftig steuern und regeln zu können. Das war so das Fazit von mir.
René
00:47:23
Vielen Dank, Michael. Dann in die Runde noch mal. Wenn es euch gefallen hat, wenn ihr sagt, okay, users lounge ist ganz cool, hört gerne weiter rein, empfehlt uns, lasst ein Abo da, auch mal eine Bewertung. Die hilft uns sicherlich dann auch weiter, um zu gucken, ob das so die Richtung annimmt, die ihr euch auch wünscht von uns. Und ja, ansonsten würde ich sagen, schönes Wochenende euch allen und wir hören uns dann in 14 Tagen wieder.
Michael
00:47:52
Perfekt. Bleibt mir nur zu sagen, Grüße aus Wetzlar, eine gute Zeit. Wir hören uns. Bis dahin.
René
00:47:58
Bis dann. Ciao.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts