IT Asset Management (ITAM) und Cybersicherheit: Alles inventarisieren, alles schützen

"You can't protect what you don't know you have." - dieses Prinzip ist das Fundament jeder Sicherheitsstrategie. IT Asset Management (ITAM) sorgt dafür, dass Unternehmen einen vollständigen, aktuellen Überblick über alle IT-Assets behalten: Hardware, Software, Cloud-Ressourcen, Lizenzen und ihre Abhängigkeiten.

Warum ITAM die Basis jeder Sicherheitsstrategie ist

Ein typisches Szenario ohne ITAM: Ein Ransomware-Angriff nutzt eine bekannte CVE in Windows Server 2012 R2 als Einstiegspunkt. Auf die Frage "Haben wir noch Windows 2012 R2 Systeme?" lautet die Antwort "Wir glauben nicht" - tatsächlich finden sich drei vergessene VMs auf einem Keller-ESXi.

Das passiert durch organisches IT-Wachstum über Jahre, fehlende strukturierte Übergaben bei Mitarbeiterwechseln, Shadow-IT durch Abteilungen die ohne IT-Abteilung kaufen, Cloud-Sprawl durch Teams die EC2-Instanzen erstellen und vergessen sowie durch geklonte und umbenannte VMs in virtualisierten Umgebungen.

CIS Control 1 (Inventar und Kontrolle von Enterprise-Assets) und CIS Control 2 (Inventar und Kontrolle von Software-Assets) fordern genau das. Unbekannte Assets erhalten keine Patches, bekannte CVEs bleiben offen, und Angriffe werden möglich. Laut Freshservice State of IT 2023 sind 20 % der IT-Assets in mittelgroßen Unternehmen nicht inventarisiert. IBM X-Force 2024 zeigt, dass 67 % der Ransomware-Angriffe ungepatchte bekannte CVEs ausnutzen.

CMDB - Configuration Management Database

Die CMDB nach ITIL verwaltet Configuration Items (CIs) - alle Assets mit ihren Attributen wie Name, Typ, Version, Eigentümer, Standort und Status. Typen umfassen Hardware, Software, Service, Dokument und Zertifikat.

Ein typisches CI für einen Produktionsserver enthält: Typ (Physical Server), Modell, Betriebssystem, IP-Adresse, MAC-Adresse, Rack-Position, Eigentümer, installierte Applikationen, Datum des letzten Patches, nächsten Patch-Termin, End-of-Life-Datum und Abhängigkeiten zu anderen CIs.

Beziehungen in der CMDB sind ebenso wichtig wie die CIs selbst. Ein Webserver verwendet eine Nginx-Version, ist mit einem Datenbankcluster verbunden, läuft auf einem ESXi-Host und die Nginx-Version hat eine bekannte Schwachstelle (CVE) - all das wird in der CMDB abgebildet.

Open-Source-CMDB-Tools: iTop (CMDB + ITSM, kostenlos), Ralph (ausgezeichnetes Open-Source-ITAM-Tool), NetBox (Netzwerk- und Datacenter-fokussiert) und Snipe-IT (Asset Tracking, sehr benutzerfreundlich).

Kommerzielle Tools: ServiceNow CMDB (Enterprise-Standard), Freshservice CMDB (SME/Mittelstand), Lansweeper (sehr gut für automatische Discovery) und Device42 (CMDB + Discovery + Dependency Mapping).

Automatische Asset-Discovery

# Alle aktiven Hosts im Netz entdecken
nmap -sn 10.0.0.0/16 -oX discovery.xml

# Betriebssystem und Services erkennen
nmap -O -sV 10.0.0.0/16 -oX inventory.xml

# Cloud-Assets auflisten
aws ec2 describe-instances --query \
  'Reservations[].Instances[].[InstanceId,State.Name,PublicIpAddress,PrivateIpAddress,Tags[?Key==`Name`].Value|[0]]' \
  --output table

# Azure
az resource list --output table

# GCP
gcloud compute instances list

Nmap liefert ein Basisinventar für On-Premises-Netzwerke. Nessus Essentials (kostenlos bis 16 IPs) kombiniert Vulnerability-Scan mit Asset-Discovery und exportiert nach CSV oder XML für den CMDB-Import. OpenVAS ist eine kostenlose Alternative ohne IP-Limit. Agent-basierte Discovery via Lansweeper-Agent findet auch Assets hinter NAT und in Remote-Offices. Für Multi-Cloud bieten Prisma Cloud und Wiz eine zentrale Übersicht über alle Clouds.

Software Asset Management und SBOM

Ein Software-Inventar erfordert mindestens: Name und Version jeder installierten Anwendung, Lizenz-Informationen für Compliance, Patch-Status und bekannte CVEs, Verknüpfung mit dem nutzenden Asset sowie Installationsdatum und letzte Aktualisierung.

# Windows: Software via PowerShell inventarisieren
Get-ChildItem HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall |
  Get-ItemProperty | Select DisplayName,DisplayVersion,Publisher |
  Sort DisplayName

# Linux (Debian/Ubuntu)
dpkg --list | awk '{print $2, $3}' > software-inventory.txt

# SBOM generieren mit Syft
syft myapp:latest -o spdx-json > sbom-myapp.json

# SBOM auf Schwachstellen prüfen mit Grype
grype sbom:./sbom-myapp.json

Ein SBOM (Software Bill of Materials) ist ein vollständiges Inventar aller Softwarekomponenten inklusive aller Bibliotheken und deren Abhängigkeiten. Standard-Formate sind SPDX (ISO/IEC 5962) und CycloneDX. US Executive Order Mai 2021 macht SBOMs für US-Regierungssoftware zur Pflicht; NIS2 und der EU Cyber Resilience Act fordern ähnliches zunehmend auch in Europa.

Der Log4Shell-Vorfall illustriert den Wert: Ohne SBOM bedeutete die Frage "Haben wir log4j im Einsatz?" wochenlange manuelle Suche. Mit einem SBOM lautet die Antwort in Sekunden.

Hardware-Lifecycle-Management

End-of-Life (EOL) bedeutet: keine Sicherheits-Patches mehr. Jede bekannte Schwachstelle bleibt dauerhaft offen. Kritische EOL-Daten: Windows 10 (Oktober 2025), Windows Server 2012 (Oktober 2023), Windows Server 2016 (Januar 2027), PHP 8.1 (Dezember 2025), CentOS 7 (Juni 2024) und Python 3.8 (Oktober 2024).

Der ITAM-Prozess für EOL-Management: alle Assets mit OS- und Software-Version in der CMDB erfassen, EOL-Daten automatisch aus Vendor-Feeds laden, bei weniger als 12 Monaten bis EOL einen Alert auslösen, Migration oder Replacement im Budget einplanen und Ausnahmen mit akzeptiertem und kompensierten Restrisiko dokumentieren.

Empfohlene Hardware-Replacement-Zyklen: Workstations 4-5 Jahre, Laptops 3-4 Jahre, Server 5-7 Jahre, Netzwerk-Switches 7-10 Jahre (mit Firmware-Support), Firewalls 3-5 Jahre, Storage 5-7 Jahre.

Kurze Zyklen sind aus Sicherheitsgründen sinnvoll: Ältere Hardware bekommt oft keine Firmware-Updates mehr (Spectre/Meltdown), IoT-Geräte erhalten häufig nach 2-3 Jahren keine Security-Updates, und ohne TPM 2.0 sind weder Windows 11 noch BitLocker möglich.

ITAM für Compliance

ISO 27001:2022 fordert in A.5.9 ein vollständiges und aktuelles Inventar von Informationen und anderen Assets mit Klassifizierung nach Schutzbedarf. A.5.10 regelt die akzeptable Verwendung von Assets, A.5.11 die Rückgabe bei Austritt.

NIS2 Art. 21 verlangt, dass Vermögenswerte und Risiken bekannt sind - ein vollständiges Asset-Inventar ist die Grundlage.

BSI IT-Grundschutz ORP.1 fordert ein Asset-Inventar explizit.

Was Auditoren sehen wollen:

• Vollständiges Asset-Inventar (nicht älter als 6 Monate)
• Asset-Owner für alle kritischen Assets
• Klassifizierung nach Schutzbedarf
• EOL/EOS-Management dokumentiert
• Prozess für Onboarding neuer und Decommissioning alter Assets
• Dokumentierte Überprüfungsfrequenz

Quick-Win-Checkliste:

• Inventar-Tabelle erstellen (Asset, Owner, OS, Version, IP)
• Nmap-Scan gegen eigenes Netz: was findet man was man nicht kennt?
• Windows WSUS / SCCM: wie viele Geräte mit fehlendem Patch?
• Alle Geräte die seit mehr als 90 Tagen kein Update hatten identifizieren
• EOL-Check: welche OS/Software läuft out-of-support?