Die ISO 27001 Anforderungen in Anlage 8
Blog

Die ISO 27001 Anforderungen in Anlage 8

So erfüllen Sie alle Anforderungen der ISO 27001 Zertifizierung an das Asset Management in Anlage 8

Michael Kostka
Michael Kostka Veröffentlicht am 27.01.2026

Die Anlage 8 der bekannten ISO 27001 Zertifizierung spezifiziert konkrete Anforderungen an das (IT) Asset Management des Unternehmens.

Schon in älteren Revisionen der ISO 27001 war das IT Asset Management häufig die Dokumentationsgrundlage für alle geforderten Nachweise und somit unabdingbar. Mit der neuen Anlage 8 wurde dies nochmals spezifiziert und ausgeweitet.

Infografik - Bereiche der ISO 27001 Anlage 8

💡 Grundlagen

Die Anlage 8 teilt sich in zwei generelle Bereiche auf: Allgemeine Kontrollen & spezifische Kontrollen. Diese listen unterschiedliche Maßnahmen auf, die zur Sicherstellung der Informationssicherheit angewendet werden können.

Welche Maßnahmen davon nun konkret umgesetzt werden müssen, ergibt sich aus dem konkreten Schutzwertbedarf der verarbeiteten Daten sowie weiterer organisatorischer Überlegungen.

📘 Was bedeutet Asset Management?

Bevor wir auf die konkreten Maßnahmen eingehen, sollten wir uns nochmals genau ansehen was überhaupt unter den Begriff "Asset Management" fällt.

Assets sind alle materiellen und immateriellen Gegenstände eines Unternehmens.

Hierzu zählen also nicht nur die üblichen Positionen wie z.B. PCs oder Maschinen. Konkret gibt es folgende Asset-Typen:

  • Informations-Assets: Passwörter, Sicherheits-Schlüssel, Datenbanken oder Dateien. Auch in ausgedruckter Form.
  • Finanzielle Assets: Bankguthaben, liquide Mittel
  • Personal: Kenntnisse von Mitarbeitern, deren Zertifizierungen / Verfügbarkeit, etc.
  • Immaterielle Assets: Marken, Patente, Lizenzen, Bewertungen. Alles, was die Reputation eines Unternehmens ausmacht oder beeinträchtigen kann.

🎓 A.8.1 - Zuständigkeit

Hier wird festgelegt und vor allem dokumentiert, welche Assets es gibt und wer dafür letztendlich zuständig ist.

🔍 A.8.1.1 - Inventarisierung

Die Grundlage und damit das Herzstück zur Erfüllung der Anlage 8 bildet die Inventarisierung aller Assets. Dies ist die Grundlage bzw. das Fundament auf dem alle weiteren Dokumentationen wie z.B. Zuständigkeiten, regelmäßige Prüfungen, etc. aufbauen.

Da hierbei die nachfolgenden Informationen mit erfasst werden sollen, ist auf eine möglichst umfassende Inventarisierungslösung zu achten. Excel ist hierbei keine ausreichende Lösung!

  • Physische Assets: Computer, Server, Büroausstattung, Maschinen, Gebäude
  • Elektronische Assets: Software & Lizenzen, Datenbanken, Daten
  • Geistiges Eigentum: Marken, Patente, eigene Lizenzen
  • Sensitive Informationen: Kundendaten, Finanzkennzahlen, Mitarbeiterdaten

💡 Inventarisierung leicht gemacht

Inventarisierung mit Inventory360

Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.

Jetzt mehr erfahren

👤 A.8.1.2 - Eigentum von Assets

An dieser Stelle wird nicht explizit zwischen Eigentümer und Besitzer unterschieden. Aus der Praxis heraus macht es aber immer Sinn beide Informationen mit zu erfassen. Auch um aus der Dokumentationspflicht später weitere Vorteile abseits des Audits ziehen zu können. Am Beispiel eines PCs:

  • Eigentümer: Der buchhalterische Eigentümer / Käufer des Assets - z.B. Firma XY
  • Besitzer: Der tatsächliche Endanwender, der Zugriff auf das Gerät hat - z.B. Max Mustermann, Projektleiter von Abteilung ABC

📜 A.8.1.3 - Nutzungsvereinbarungen

Diese Anforderung ist häufig unter dem Namen IT-Security-Policy bereits für Teilbereiche im Unternehmen bekannt. Die ISO 27001 geht in Anlage 8 hier noch einen Schritt weiter und fordert die Definition von Regeln und Anforderungen an die Nutzung für alle Assets im Scope.

  • Regeln zur Benutzung oder Verarbeitung von Informationen
  • Im Einklang mit der unternehmensweiten Information Security Policy
  • Konsequenzen bei Nicht-Einhaltung der Regeln

♻️ A.8.1.4 - Rückgabe

Aus unserer Sicht ist dies einer der wichtigsten Punkte, bei dessen Missachtung auch heute noch die meisten Sicherheitsprobleme in Unternehmen entstehen: Nicht zurückgegebene Assets oder auch Berechtigungen!

Dieser Punkt greift eng mit der Anforderung aus A.8.1.2 zusammen:

Nur, wenn ich weiß wem ein Asset zugeordnet ist, kann ich auch für eine ordnungsgemäße Rückgabe sorgen.

Der Rückgabeprozess muss hierbei zentral dokumentiert werden und für andere zu jeder Zeit nachvollziehbar sein.

🔒 A.8.2 - Klassifizierung

Unter dem etwas abstrakten Begriff verbirgt sich eine Einstufung der Assets in verschiedene "Sicherheitskategorien":

  • Öffentlich: Öffentlich und kann für jedermann eingesehen werden
  • Intern: Nur intern für alle Mitglieder der Organisation
  • Eingeschränkt: Auf einen bestimmten Personenkreis beschränkt (höchste Einstufung)

Die Einstufung erfolgt dabei mindestens auf Basis der nachfolgenden Kriterien:

  • Sensitivität / Brisanz des Assets
  • Wert für die Organisation
  • Zugriffs- bzw. Zutrittsberechtigungen
  • Anforderungen an Verfügbarkeit, Integrität und Vertraulichkeit
  • Folgen bei Verlust des Assets

↕️ A.8.2.1 - Klassifizierung von Informationen

Der erste Abschnitt beschreibt hier das Vorgehen zur Einstufung der jeweiligen Assets:

  • Die Assets identifizieren (Inventarisierung)
  • Einstufung basierend auf der Sensitivität bzw. dem Schutzwertbedarf
  • Dokumentation der obigen Einstufung mit der passenden Sicherheits-Klassifizierung

Dieser Prozess beinhaltet in der Praxis einen teils aufwändigeren Prüfungsprozess. Am Beispiel eines Serversystems, lässt sich dies gut veranschaulichen:

  • Welchen Zweck erfüllt das Serversystem? (z.B. Mailversand)
  • Welche Daten werden damit verarbeitet? (z.B. externe und interne Daten mit unterschiedlichem Schutzwertbedarf sowie u.U. sehr schützenswerte persönliche Informationen?
  • Wer ist für das System zuständig? (z.B. Mail-Administrator der Abteilung IT)
  • Welche Folgen hat ein Ausfall oder Datenleck? (in diesem Fall gravierend)

🏷️ A.8.2.2 - Kennzeichnung von Informationen

In diesem Punkt wird primär die Dokumentation beleuchtet, die für alle Assets und für alle beteiligten Personen schnell ersichtlich sein soll. Man kann sich dies wie ein Sicherheitshinweis oder Eingangsschild an einer Tür vorstellen.

  • Klassifizierung der Sensitivität
  • Verhalten im Umgang: z.B. Verschlüsselung oder Löschung der Informationen
  • Geschützt: Schutz der Informationen vor unauthorisierter Weitergabe

🕹️ A.8.2.3 - Verhalten im Umgang

Der Abschnitt 8.2.3 definiert in mehreren Unterpunkten mögliche Maßnahmen zum Verhalten im Umgang mit Assets um deren Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.

  • Physische und Umgebungssicherheit (8.2.3.1)
  • Sichere Standorte (8.2.3.2)
  • Sicherer Umgang (8.2.3.3)
  • Informations Sicherheits Klassifizierung (8.2.3.4)
  • Umgang mit Wechseldatenträgern (8.2.3.5)
  • Sichere Entsorgung oder Weiternutzung (8.2.3.6)
  • Überwachung / Monitoring (8.2.3.7)

Hierbei ist allgemein auf die nachfolgenden Vorgaben zu achten:

  • Auswahl der Maßnahmen abhängig der eigenen Umstände und Anforderungen
  • Alle Assets müssen inkludiert sein

Änderungen an den Assets wie z.B. Konfigurationen, Umbauten, etc. müssen vor der Umsetzung autorisiert, geprüft und genehmigt werden. Hierbei muss spezifiziert sein, welche Art der Änderungen eine Autorisierung, Genehmigung und Prüfung erfordern. Ebenso welcher Personenkreis für die jeweilige Tätigkeit verantwortlich ist.

💿 8.3 - Handhabung von Medien

In diesem Abschnitt geht es primär um die Vermeidung des unbefugten Zugriffs, Veränderung, Löschung oder Zerstörung von Informationen, die auf Medien wie z.B. einem Datenträger gespeichert sind.

💾 8.3.1 - Umgang mit Wechseldatenträgern

Wechseldatenträger bergen auch heute noch ein enormes Sicherheitsrisiko in Unternehmen und werden daher häufig physisch oder softwareseitig für Endanwender deaktiviert. Dennoch lässt sich deren Einsatz beispielsweise zur Auslagerung eines Backups teils nicht vermeiden.

Auch hier müssen - abhängig der Klassifizierung des Datenträgers - die nötigen Maßnahmen zum Schutz getroffen und der Einsatz von Wechseldatenträgern weitestgehend vermieden werden.

  • Aufbewahrung in einer sicheren Umgebung (z.B. im Tresor, 2. Standort)
  • in Übereinkunft mit den Vorgaben des Herstellers (z.B. Festplatten trocken und in definiertem Temperaturbereich)
  • Einsatz von Verschlüsselung, sofern es die Risikobewertung notwendig macht
  • Wenn möglich Aufzeichnung und Dokumentation der Ausgabe- und Rückgabe des Datenträgers

❌ 8.3.2 - Löschung von Datenträgern

Medien, die nicht mehr benötigt werden, müssen nach einem dokumentierten und sicheren Verfahren gelöscht werden. Abhängig von der Risikoklassifizierung der enthaltenen Daten können dabei z.B. verschiedene Maßnahmen ergriffen werden:

  • Öffentlich: Datenträger löschen (z.B. per Secure Erase oder Löschprogramm)
  • Intern: Physische Zerstörung des Datenträgers
  • Eingeschränkt: Physische Zerstörung mit externem Entsorgungsnachweis

📦 8.3.3 - Physischer Transport

Beim physischen Transport von Datenträgern ist auf eine Sicherung gegen unerlaubten Zugriff, Nutzung oder Beschädigung während des Transports zu achten. Dies kann z.B. durch folgende Maßnahmen erreicht werden:

  • Nutzung verlässlicher Transport- oder Kurierdienste
  • Ausreichende Verpackung
  • Verschlüsselung und Prüfsummen

🏅 Tipps aus der Praxis

In der Praxis kommt es viel auf die Dokumentation an. Auditoren nehmen gerne Stichproben um die Umsetzung der geforderten Maßnahmen dann auch in der "echten" Welt zu verifizieren. Hierbei helfen:

  • Eine umfangreiche und mit eigenen Attributen anpassbare Asset Management Lösung
  • Ein Dokumentationssystem bzw. Wiki
  • Skizzierung von Prozess-Ablaufplänen
  • Interview von zuständigen Mitarbeitern (Wie läuft der Prozess aktuell?)
  • Plausibilitätsprüfung der Dokumentation vs. Realität
  • Vermeidung von Stolpersteinen (unverschlüsselte externe Datenträger, Berechtigungs-Chaos, fehlende Dokumentation)

Inventarisierung

Unserer Erfahrung nach bildet eine automatische Inventarisierung einen guten Einstiegspunkt um sich in der Vorbereitung auf ein Audit zunächst einmal einen Überblick über Assets und deren Risikoklassifizierung zu verschaffen.

Wer noch keine vernünftige Inventarisierungslösung zur Hand hat, kann sich auch zur Ersterfassung mit unserem PowerShell Skript zur Inventarisierung helfen.

Etablierung von Prozessen

Neben einer erstmaligen Inventarisierung müssen auch feste Prozesse in der Organisation implementiert werden. Nur so kann zum einen die Dokumentationspflicht erfüllt und zum anderen die Verlässlichkeit der vorliegenden Daten überhaupt erst gewährleistet werden.

Diese Funktion erfüllt ein gelebtes Lifecycle-Management mit Beschaffung, Inventarisierung, Übergabe, Protokollen und Rückgabe / Verschrottung, welches auf die erfassten Daten aufsetzt.

Über den Tellerrand schauen

Denken Sie auch an die Erfassung von Verträgen, Wartungen sowie deren Nachweise. In einem Audit ist die reine Dokumentation der Existenz beispielsweise einer Klimaanlage des Rechenzentrums nur die halbe Miete. Auch deren Wartungsvertrag sowie die unterzeichneten Wartungsprotokolle der ausführenden Fachfirma sind genauso notwendig.

🏁 Fazit

Die Auditierung nach ISO 27001 ist keine reine Bürokratie, sondern immer als Chance für eine bessere Absicherung & Weiterentwicklung des Unternehmens zu sehen.

Zudem bietet sich die Möglichkeit im Rahmen der Vorbereitungen und des Audits einen - vielleicht auch erstmal unbequemen - Blick auf die Organisation zu werfen.

Ein vollumfängliches Asset Management bietet die Grundlage für alle darauf aufbauenden Dokumentationen und angeschlossenen Prozesse.

Michael Kostka
Michael Kostka Autor

Geschäftsführer / CEO

Gründer und Geschäftsführer der EntekSystems GmbH. Herr Kostka verantwortet bei uns die Bereiche technischer Vertrieb und Leitung des Tagesgeschäfts.

Mehr erfahren

Weitere Artikel und Beiträge

Alle anzeigen
Was ist WMI Stealth?
25.11.2025 Was ist WMI Stealth?

WMI Stealth erlaubt die sichere und automatisierte Abfrage von Inventar- und Leistungsdaten von Windows Systemen über die WMI Schnittstelle.

Michael Kostka Michael Kostka
Erste Hilfe im Microsoft Lizenzaudit - Welche Risiken sind relevant?
11.11.2025 Erste Hilfe im Microsoft Lizenzaudit - Welche Risiken sind relevant?

Plötzlich kündigt Microsoft ein Lizenz-Audit an! Was muss nun getan werden? Dieser Leitfaden zeigt, wie Sie strukturiert, rechtssicher und ohne Panik richtig reagieren.

Alexander van der Steeg Alexander van der Steeg
DGUV V3 Verwaltung mit einer Inventarverwaltung (Teil 1 - Theorie)
26.08.2025 DGUV V3 Verwaltung mit einer Inventarverwaltung (Teil 1 - Theorie)

Sichere Elektroanlagen nach DGUV V3: Pflichtprüfung schützt Mitarbeiter, vermeidet Ausfälle und sorgt für rechtskonformen Betrieb. - Erfahren Sie bei uns mehr zu dem Thema.

Frank Kister Frank Kister