IT Asset Management klingt nach Inventarliste. Nach Excel-Tabelle mit Seriennummern. Nach dem langweiligsten Thema, das man einem IT-Team geben kann.
Das ist ein Irrtum, der Unternehmen teuer zu stehen kommt.
Im ChaosHacker-Talk hat Alexander van der Steeg, CTO von EnTek Systems, das Thema auseinandergenommen. Sein Fazit: Die Liste ist nichts wert. Was zählt, ist der Lifecycle dahinter.
https://youtu.be/azqvXv6H3GY
Was IT Asset Management wirklich bedeutet
Asset Management gibt es, seit es Lagerhaltung gibt. Die Ägypter haben Kornkammern inventarisiert, die Römer ihre Ausrüstung. Das Prinzip ist einfach: Wer weiß, was er besitzt, kann es kontrollieren.
Im digitalen Kontext heißt das: PCs, Server, Smartphones, Netzwerkgeräte, Laborgeräte, Klimaanlagen im Rechenzentrum, Medizintechnik. Alles, was für den Betrieb notwendig ist und irgendwo existiert.
Aber das eigentliche Thema ist nicht die Aufnahme. Es ist der Lebenszyklus.
Der beginnt vor dem Kauf. Wer plant, was er braucht, kauft nicht blind. Wer beim Kauf inventarisiert, hat saubere Eingangsdaten. Wer die Übergabe an Mitarbeiter dokumentiert, weiß, wo das Gerät ist. Wer Wartungszyklen pflegt, verliert keine Garantien. Und wer die Entsorgung sauber abbildet, hat am Ende des Tages eine Inventarliste, die der Realität entspricht.
Klingt nach Selbstverständlichkeit. Ist es nicht. Strategisches ITAM kann die gesamten IT-Ausgaben um schätzungsweise 15 bis 20 Prozent senken. Der Grund: unkontrollierte Assets kosten Geld, Sicherheit und Compliance, ohne dass es jemand bemerkt.
Der Security-Faktor: Was passiert, wenn Montag der Alert kommt
Laut Bitkom stieg der jährliche Gesamtschaden durch Cyberkriminalität in Deutschland 2025 auf 289,2 Milliarden Euro. 87 % der befragten Unternehmen waren betroffen.
Die häufigste Angriffsfläche: unbekannte oder ungepatchte Assets.
Das ist kein abstraktes Risiko. Stell dir vor, Montagmorgen kommt ein Security-Alert: In einem weit verbreiteten Softwarepaket wurde eine kritische Zero-Day-Lücke entdeckt. Die Frage lautet jetzt: Welche meiner Geräte haben dieses Paket drauf?
Wer keine saubere Asset-Datenbank hat, sucht manuell. Durch mehrere Systeme, möglicherweise durch Excel-Listen aus verschiedenen Abteilungen. Und während man sucht, läuft die Uhr.
Wer eine aktuelle, automatisch befüllte Übersicht hat, hat die Antwort in Minuten. Kann gezielt patchen. Kann informieren. Kann das Risiko begrenzen.
Der Unterschied ist nicht akademisch. Er ist operativ.
Besonders kritisch: Regulierte Umgebungen
Im pharmazeutischen und medizintechnischen Umfeld kommt ein weiterer Aspekt hinzu: GxP-Systeme.
Ein GxP-System ist nicht einfach ein PC oder ein Server. Es ist eine Kombination aus Hardware, Software und Peripherie, die zusammen eine Aufgabe erfüllt, zum Beispiel die Steuerung einer Produktionsanlage oder die Dokumentation eines Laborprozesses. Dieses System hat einen Owner, eine Kritikalitätsbewertung und einen regulatorischen Status.
Wenn der Auditor kommt und fragt, welche computergestützten Systeme im Einsatz sind und welche davon GxP-relevant sind, braucht man eine Antwort. Keine Schätzung. Keine Liste, die vor sechs Monaten aktuell war.
Das gilt auch für die Klimaanlage, die den Serverraum kühlt, oder den Freezer, in dem Referenzmuster bei Minusgraden lagern. Wenn diese Geräte nicht gewartet werden, weil niemand weiß, wann die Wartung fällig ist, verliert man im besten Fall die Garantie. Im schlechtesten Fall läuft die Produktion heiß, und es gibt einen Batch-Rückruf.
Automatisierung ist kein Nice-to-have
Ein zentrales Learning aus dem Gespräch mit Alexander: Pflege muss in die Arbeitsprozesse integriert sein.
Jede manuelle Pflegeaufgabe, die zusätzlich zum normalen Workflow kommt, wird früher oder später nicht mehr gemacht. Das ist keine Kritik an Mitarbeitern. Das ist Psychologie.
Moderne ITAM-Systeme spielen deshalb mit automatischen Quellen: MDM-Systeme liefern Gerätedaten, Microsoft Entra liefert Nutzerzuordnungen, Netzwerkscans ergänzen, was die anderen Quellen nicht sehen. Der manuelle Aufwand beschränkt sich auf Ausnahmen und Korrekturen.
Rund 60 % der Unternehmen sind bereits auf cloudbasierte ITAM-Plattformen umgestiegen. Der Trend zeigt, wohin die Reise geht: weg von manuellen Silos, hin zu integrierten, automatisch aktualisierten Systemen.
Der 360-Grad-Gedanke
Alexander plädiert für einen Ansatz, der alle Asset-Typen in einem System zusammenführt: IT-Assets, Laborgeräte, Facility-Objekte, Fahrzeuge. Nicht weil das technisch sauber ist, sondern weil getrennte Systeme zwangsläufig Lücken erzeugen.
Wenn die Klimaanlage beim Facility Management liegt und der Server in der IT, und beide Systeme nicht miteinander sprechen, fehlt der Zusammenhang. Dabei ist es genau dieser Zusammenhang, der im Ernstfall entscheidet.
Ein Unternehmen mit über 300.000 Assets in einem System kann Compliance-Fragen beantworten, Wartungsfälligkeiten steuern und Risiken sichtbar machen, die vorher unsichtbar waren.
Wo anfangen?
Die häufigste Blockade: Man wartet darauf, alles auf einmal zu inventarisieren. Das führt zu nichts.
Der bessere Weg: Eine Asset-Gruppe wählen. Die, die den größten Schmerz verursacht. Und dort anfangen. Wenn der Prozess für diese Gruppe funktioniert, zeigt sich schnell, ob das Problem an Prozessqualität, Datenzugang oder Ressourcen liegt. Dann zieht man den nächsten Bereich rein.
Schritt für Schritt. Ohne Perfektion als Eintrittsbedingung.
Wer heute noch keine strukturierte Übersicht über seine IT-Assets hat, lässt Risiken offen, die sich quantifizieren lassen. Das ist keine IT-Frage. Das ist Unternehmensführung.
ChaosHacker
Out
No responses yet