🌍 Das vertraute Bild

Vor zweihundert Jahren war fast jeder Landstrich für jemanden ein weißer Fleck. Eine Karte zu zeichnen, war keine Dokumentationsübung – es war eine Übung in Reduktion von Unsicherheit. Wer den nächsten Fluss nicht kannte, konnte ihn nicht überqueren. Die Vermessung war kein Selbstzweck, sondern die Voraussetzung für jede vernünftige Entscheidung.

🔬 Die erste Parallele

Asset-Management hat denselben Zweck. ISO/IEC 27001 A.5.9 verlangt ein Inventar – nicht für den Audit-Tag, sondern damit man weiß, was zu schützen ist. Was nicht bekannt ist, kann nicht durchdacht, nicht bewertet, nicht behandelt werden. Asset-Management ist die methodische Reduktion epistemischer Unsicherheit: Es schließt Wissenslücken, bevor sie zu Sicherheitslücken werden.

🔄 Wo die Analogie weiterträgt

Eine gute Karte zeigt nicht nur Straßen, sondern Gebäude, Wasserwege, Verwaltungsgrenzen. Wer nur Straßen kartiert, hat ein Verkehrsdiagramm. Genauso ist Asset-Management nicht das Auflisten von Servern und Laptops. Assets sind im Sinne der Norm alles, dem die Organisation Wert beimisst: Ziele, Aufbauorganisation, Geschäftsprozesse, Services, Informationen, Daten. Etablierte Frameworks geben die kartographischen Konventionen. TOGAF zieht Risiko und Sicherheit als Querschnitt durch alle Architekturphasen. ArchiMate verankert mit dem Risk and Security Overlay Bedrohungen und Maßnahmen direkt an Geschäftsobjekten.

⚠️ Wo sie bricht

Die Analogie bricht dort, wo eine Karte statisch sein darf, eine Organisation aber nicht ist. Eine Stadt verändert sich in Jahren, ein Unternehmen in Wochen. Cloud-Ressourcen entstehen über Nacht, Services wandern, Lieferketten dehnen sich aus. Ein Asset-Register, das einmal jährlich per Visio-Diagramm aktualisiert wird, ist die Karte des letzten Jahres. Architecture as Code versucht, die Karte mit dem Gebiet mitwachsen zu lassen.

💡 Was wir daraus lernen

Asset-Management ist kein Audit-Ritual. Es ist die epistemische Voraussetzung jedes Risikomanagements. Ohne Karte weiß niemand, wohin Ressourcen zu lenken sind; ohne die organisatorische Schicht ist nicht einmal klar, was auf dem Spiel steht. Vollständig wird die Karte nie sein. Die Frage ist nur, ob sie zeigt, worauf die Organisation angewiesen ist.

📚🔍