- Bedeutung
- Vollständiges Verzeichnis aller schützenswerten Werte
- Zweck
- Grundlage für Risikoanalyse, Schutz und Nachweise
- Bezug zu NIS2
- Erster praktischer Umsetzungsschritt
- Pflege
- Laufend aktuell halten
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ein Asset-Inventar?
Ein Asset-Inventar listet systematisch alle Assets auf – Hardware, Software, Cloud-Dienste, Daten und Netzwerke. Während der Begriff „Assets" beschreibt, was schützenswert ist, ist das Asset-Inventar das konkrete Werkzeug, das diese Werte erfasst, klassifiziert und aktuell hält. Man kann es sich wie eine vollständige, lebende Inventarliste der gesamten IT- und OT-Landschaft vorstellen, die jedem Asset einen Verantwortlichen, einen Schutzbedarf und seine Abhängigkeiten zuordnet.
Warum es das Fundament ist
„Man kann nur schützen, was man kennt." Ohne aktuelles Asset-Inventar lässt sich weder beurteilen, welche Risiken bestehen, noch welche Schutzmaßnahmen nötig sind. Genau deshalb ist es der erste praktische Schritt jeder NIS2-Umsetzung – noch vor der eigentlichen Risikoanalyse. Es schafft zudem die Nachweisfähigkeit, die NIS2 von wesentlichen und wichtigen Einrichtungen verlangt: Gegenüber der zuständigen Behörde muss belegbar sein, dass die getroffenen Maßnahmen tatsächlich alle relevanten Werte abdecken.
Was hineingehört
- Server, Endgeräte, Netzwerkkomponenten und OT-Systeme
- Anwendungen und Cloud-Dienste (auch von Dienstleistern)
- Daten und ihre jeweiligen Schutzbedarfe
- Verantwortliche, Standort und Abhängigkeiten je Asset
Asset-Inventar und Risikomanagement
Das Inventar ist der Ausgangspunkt: Für jedes Asset werden Risiken bewertet und passende Controls festgelegt. Im ISMS bildet es die zentrale Datenbasis, auf die Risikobewertung, Maßnahmenplanung und Auditnachweise zurückgreifen.
Konkret: Ein Krankenhaus stellt beim Aufbau seines Inventars fest, dass mehrere medizintechnische Geräte ungeplant am Netzwerk hängen und niemandem zugeordnet sind. Erst durch die Erfassung im Asset-Inventar werden diese Geräte sichtbar, erhalten einen Verantwortlichen und fließen in die Risikoanalyse ein – statt als unbeachtete Einfallstore zu bleiben.
Weiterführende Quelle: BSI IT-Grundschutz
Häufige Fragen
Was gehört in ein Asset-Inventar?
In ein Asset-Inventar gehören alle IT- und OT-Systeme, Anwendungen, Geräte, Cloud-Dienste, Daten und Netzwerke eines Unternehmens – jeweils mit benanntem Verantwortlichen, Schutzbedarf und Standort. Wichtig sind außerdem die Abhängigkeiten zwischen den einzelnen Assets, etwa welche Anwendung auf welchem Server läuft. Nur so entsteht ein vollständiges, lebendes Verzeichnis der gesamten IT- und OT-Landschaft, das als belastbare Grundlage für die Risikoanalyse dienen kann.
Warum ist ein Asset-Inventar für NIS2 wichtig?
Das Asset-Inventar ist die Grundlage jeder Risikoanalyse und damit der erste praktische Umsetzungsschritt nach NIS2 – noch vor der eigentlichen Risikobewertung. Ohne vollständiges Inventar lassen sich weder die bestehenden Risiken bestimmen noch geeignete Schutzmaßnahmen begründen oder gegenüber der zuständigen Behörde nachweisen. Gerade die von NIS2 geforderte Nachweisfähigkeit setzt voraus, dass belegbar alle relevanten Werte erfasst und abgedeckt sind.
Wie oft muss man ein Asset-Inventar aktualisieren?
Ein Asset-Inventar muss laufend und ereignisgesteuert gepflegt werden: Jede Neuanschaffung, jede Außerbetriebnahme und jede wesentliche Änderung sollte zeitnah einfließen. Ein veraltetes Inventar führt zu blinden Flecken in Risikoanalyse und Schutz und untergräbt die Verlässlichkeit aller darauf aufbauenden Maßnahmen. Im ISMS bildet das aktuelle Inventar die zentrale Datenbasis, auf die Risikobewertung, Maßnahmenplanung und Auditnachweise dauerhaft zurückgreifen.