· Rexoma Team · IT-Management  · 5 min read

IT-Asset-Management für KMU: Hard- und Software-Inventar im Griff

Wer nicht weiß, welche Geräte, Lizenzen und Cloud-Zugänge im Unternehmen existieren, kann sie auch nicht absichern. IT-Asset-Management schafft die Grundlage für Sicherheit, Compliance und Kostenkontrolle.

Wer nicht weiß, welche Geräte, Lizenzen und Cloud-Zugänge im Unternehmen existieren, kann sie auch nicht absichern. IT-Asset-Management schafft die Grundlage für Sicherheit, Compliance und Kostenkontrolle.

Wie viele Laptops, Server, Smartphones und Softwarelizenzen sind aktuell in Ihrem Unternehmen im Einsatz? Die meisten Geschäftsführer und IT-Verantwortlichen in KMU können diese Frage nicht auf Anhieb beantworten – und genau das ist ein Sicherheitsproblem. Ohne belastbares IT-Asset-Management fehlt die Grundlage für Patch-Management, Zugriffskontrolle und NIS2-Nachweise gleichermaßen.

Was IT-Asset-Management konkret bedeutet

IT-Asset-Management (ITAM) ist die systematische Erfassung, Dokumentation und Verwaltung aller IT-Ressourcen eines Unternehmens – von der physischen Hardware bis zur einzelnen Softwarelizenz. Es beantwortet drei zentrale Fragen: Was besitzen wir? Wo befindet es sich? Wer ist dafür verantwortlich?

Man unterscheidet dabei zwei Ebenen:

  • Hardware-Asset-Management: Server, Workstations, Laptops, Smartphones, Netzwerkgeräte, Drucker, USV-Anlagen – jedes physische Gerät mit Standort, Seriennummer, Anschaffungsdatum und zuständigem Mitarbeiter.
  • Software-Asset-Management (SAM): Installierte Anwendungen, Lizenzmodelle, Ablaufdaten, Cloud-Abonnements und SaaS-Zugänge – inklusive der Frage, wer worauf Zugriff hat.

In vielen KMU existiert dieses Wissen nur verstreut: in Excel-Listen, im Kopf des IT-Verantwortlichen oder gar nicht. Genau diese Lücke nutzen Angreifer aus – ein vergessener Server im Serverraum, der seit zwei Jahren nicht mehr gepatcht wurde, ist ein klassisches Einfallstor.

Warum ITAM für KMU an Dringlichkeit gewinnt

Sicherheit beginnt mit Sichtbarkeit

Man kann kein System patchen, das man nicht kennt. Man kann keinen Zugriff entziehen, wenn man nicht weiß, dass ein Zugang existiert. Schatten-IT – also von Mitarbeitern eigenständig eingerichtete Cloud-Dienste oder Geräte ohne Wissen der IT – entsteht genau dort, wo kein Überblick besteht. Eine aktuelle Asset-Datenbank ist damit die Voraussetzung für praktisch jede andere Sicherheitsmaßnahme, vom Patch-Management bis zur Endpoint-Sicherheit.

NIS2 verlangt dokumentierte Asset-Übersichten

Für Unternehmen, die unter die NIS2-Richtlinie fallen, gehört eine aktuelle Übersicht kritischer IT-Assets zu den grundlegenden Nachweispflichten im Risikomanagement. Aber auch außerhalb des direkten NIS2-Anwendungsbereichs verlangen Cyber-Versicherungen, Kunden im B2B-Geschäft und Auditoren zunehmend eine dokumentierte Asset-Basis. Wer hier keine Antworten liefern kann, verliert Aufträge oder zahlt höhere Versicherungsprämien.

Lizenzkosten laufen unbemerkt weiter

Ein häufig unterschätzter Nebeneffekt: Ohne Software-Asset-Management zahlen viele Betriebe für Lizenzen, die niemand mehr nutzt – ausgeschiedene Mitarbeiter mit aktivem Microsoft-365-Konto, doppelt gebuchte SaaS-Tools, ungenutzte Server-Lizenzen. Bei zehn bis dreißig übersehenen Lizenzen kommen über das Jahr schnell mehrere tausend Euro zusammen, die ohne Mehrwert verbrannt werden.

Die häufigsten Lücken in der Praxis

Aus Projekten mit Dresdner und sächsischen Betrieben zeigen sich immer wieder dieselben Muster:

  • Unbekannte Endgeräte im Netzwerk: Private Smartphones, alte Testrechner oder IoT-Geräte, die nie offiziell erfasst wurden.
  • Verwaiste Admin-Zugänge: Zugriffsrechte ehemaliger Mitarbeiter oder externer Dienstleister, die nie deaktiviert wurden.
  • Software ohne Support: Alte Betriebssystem- oder Anwendungsversionen, deren Hersteller-Support längst ausgelaufen ist, aber weiterlaufen, weil niemand den Überblick hat.
  • Cloud-Wildwuchs: Einzelne Abteilungen buchen eigenständig SaaS-Tools mit der Firmenkreditkarte, ohne dass IT oder Geschäftsführung davon erfahren.

Jede dieser Lücken ist für sich genommen ein Sicherheits- und Compliance-Risiko – in Kombination ergeben sie ein Unternehmen, das im Ernstfall nicht sagen kann, was eigentlich betroffen ist.

IT-Asset-Management Schritt für Schritt einführen

Schritt 1: Bestandsaufnahme durchführen

Starten Sie mit einer vollständigen Inventur aller Hardware und Software. Automatisierte Discovery-Tools wie Lansweeper, Snipe-IT oder Open-AudIT scannen das Netzwerk und listen angeschlossene Geräte, installierte Software und offene Ports automatisch auf. Für kleinere Umgebungen reicht anfangs auch eine strukturierte Tabelle – wichtig ist, dass wirklich alles erfasst wird, inklusive privater Geräte mit Firmenzugriff (BYOD).

Schritt 2: Zentrale Asset-Datenbank aufbauen

Erfassen Sie pro Asset mindestens: Gerätetyp, Standort, Seriennummer, zuständiger Mitarbeiter, Anschaffungsdatum, Support-Ende und installierte Software. Open-Source-Lösungen wie Snipe-IT oder GLPI eignen sich für KMU besonders gut, da sie ohne hohe Lizenzkosten auskommen und sich selbst hosten lassen – ein Vorteil für Betriebe, die ohnehin auf eigene Linux-Server setzen.

Schritt 3: Lebenszyklus-Prozesse definieren

Legen Sie fest, was bei Anschaffung, Umzug, Weitergabe und Ausmusterung eines Geräts passiert. Ein neuer Laptop wird registriert, bevor er ausgegeben wird. Ein ausscheidender Mitarbeiter gibt Hardware zurück, und alle zugehörigen Zugänge werden am letzten Arbeitstag deaktiviert – nicht erst Wochen später.

Schritt 4: Regelmäßige Abgleiche einplanen

Eine einmalige Inventur veraltet innerhalb weniger Monate. Planen Sie vierteljährliche automatisierte Netzwerk-Scans und einen jährlichen manuellen Abgleich mit der physischen Realität ein – inklusive Stichproben im Serverraum und in den Büros.

Schritt 5: Verantwortlichkeiten klar zuweisen

Ohne benannten Verantwortlichen verwaist jede Asset-Datenbank innerhalb weniger Wochen. Legen Sie fest, wer Änderungen pflegt, wer neue Geräte einträgt und wer die Software-Lizenzen kontrolliert – idealerweise als feste Aufgabe im IT-Betrieb, nicht als Nebenprojekt.

Sie suchen Unterstützung in Dresden?

Rexoma IT hilft KMU in Dresden und Sachsen dabei, Ordnung in die eigene IT-Landschaft zu bringen: von der ersten Bestandsaufnahme über den Aufbau einer zentralen Asset-Datenbank bis zur Integration in Patch-Management und Zugriffskontrolle. Für ostdeutsche KMU, die sich auf NIS2-Nachweise oder Versicherungsanforderungen vorbereiten, ist eine saubere Asset-Übersicht der erste und wichtigste Schritt. Sprechen Sie uns an.


FAQ: IT-Asset-Management für KMU

Ab welcher Unternehmensgröße lohnt sich IT-Asset-Management? Bereits ab wenigen Mitarbeitern mit mehreren Geräten und Cloud-Diensten lohnt sich eine strukturierte Erfassung. Je größer das Unternehmen, desto größer der Schaden durch unbekannte oder vergessene Systeme – aber auch kleine Betriebe mit 5 bis 20 Mitarbeitern profitieren spürbar von Transparenz über Geräte und Lizenzen.

Welche Tools eignen sich für IT-Asset-Management in KMU? Für kleinere Umgebungen bieten sich Open-Source-Lösungen wie Snipe-IT oder GLPI an, die selbst gehostet werden können und ohne laufende Lizenzkosten auskommen. Für automatisiertes Netzwerk-Discovery eignen sich Tools wie Lansweeper oder Open-AudIT, die Geräte und installierte Software eigenständig erfassen.

Wie hängt IT-Asset-Management mit NIS2 zusammen? NIS2 verlangt von betroffenen Unternehmen ein dokumentiertes Risikomanagement, zu dem eine aktuelle Übersicht der eingesetzten IT-Systeme zählt. Ohne Asset-Management lässt sich diese Anforderung nicht erfüllen – es bildet damit eine der Grundvoraussetzungen für NIS2-Konformität.

Wie oft sollte die Asset-Datenbank aktualisiert werden? Automatisierte Netzwerk-Scans sollten mindestens vierteljährlich laufen, änderungsbezogene Einträge (neue Geräte, ausscheidende Mitarbeiter) sollten sofort erfolgen. Ein vollständiger manueller Abgleich mit der physischen Realität empfiehlt sich einmal jährlich.

Was kostet es, kein IT-Asset-Management zu betreiben? Die Kosten entstehen indirekt: ungepatchte Systeme als Angriffsfläche, verwaiste Zugänge als Sicherheitsrisiko, unbemerkt weiterlaufende Softwarelizenzen als unnötige Ausgabe. In der Praxis liegen die jährlichen Kosten durch übersehene Lizenzen allein oft im mittleren dreistelligen bis niedrigen vierstelligen Bereich – die Sicherheitsrisiken sind kaum bezifferbar, aber deutlich teurer im Schadensfall.

Back to Blog

Related Posts

View All Posts »