SAM und ITAM haben gemein, dass beide Begriffe „Asset Management“ in sich tragen. In beiden Fällen geht es darum, Vermögenswerte („Assets“) eines Unternehmens, einer Institution oder einer Behörde zu managen, also zu erfassen und zu verwalten. Das Ziel dabei lautet, einen vollständigen Überblick über alle Assets zu erhalten und diesen jederzeit auswerten zu können.

Der Unterschied zwischen den beiden Ansätzen liegt in der Breite des Betrachtungsfokus: SAM fokussiert auf Software, während ITAM die gesamte IT, also auch die Hardware betrachtet. So ganz richtig ist das zwar nicht, denn auch im SAM muss man sich mit Hardware befassen, da Software stets auf Hardware betrieben wird. Aber primär achtet man dort auf die für das SAM relevanten Hardwaretypen und die dafür relevanten Eigenschaften.

Hier sind wir nun auch direkt beim wichtigsten Punkt: der Abhängigkeit des Asset Managements von dessen Zielen und Zwecken. Asset Management jeder Art betreibt man typischerweise nicht als Selbstzweck. Vielmehr stützt man damit andere Prozesse, die von den im Asset Management erhobenen und aktuell gehaltenen Daten profitieren. So sind im SAM typischerweise das Lizenzmanagement bzw. das Compliance Management die treibenden Kräfte: Man muss seine Software-Assets erfassen und auswerten, um letztlich einen rechtmäßigen, rechtssicheren und wirtschaftlichen Software-Einsatz sicherstellen zu können.

Die Anforderungen des Lizenzmanagements definieren also oftmals den Betrachtungsgegenstand des SAMs – und der geht anforderungsgemäß etwas über die Software hinaus, da man eben auch gewisse Hardwareinformationen (wie z. B. Anzahl und Typ der verwendeten Prozessoren) benötigt, um den Lizenzbedarf korrekt zu bestimmen. Andere Eigenschaften der Hardware wie Anschaffungspreis, Standort, zugehöriger Servicevertrag oder ähnliches sind aus Sicht des Lizenzmanagements eher irrelevant – und damit oftmals nicht Gegenstand der Betrachtung, weshalb sie im Rahmen des SAM typischerweise nicht erhoben oder verwaltet werden.

Ist SAM nicht immer automatisch auch ITAM?

Nur weil man rudimentäre Hardware-Informationen erfasst, würde ich persönlich noch nicht von ITAM sprechen. Das sieht anders aus, wenn ich die Hardware in annähernd gleicher Intensität betrachte und verwalte wie die Software.

Und hier stellt sich nun erneut die Frage nach dem Zweck. Was ist der Anlass? Welchen Zweck verfolge ich? Soviel vorweg: Es gibt einige! Wir müssen uns also fragen: Wer würde von einer vollständigen und detaillierten Sicht über all unsere Assets profitieren? Und vor allem: Welche Informationen werden für welchen Zweck benötigt?

Schauen wir uns ein paar konkrete Beispiele an:

• Asset Management für das IT-Service Management

Wenn ich meinen externen Kunden oder internen Mitarbeitern einen IT-Service wie etwa einen mobilen Desktop-Arbeitsplatz oder einen E-Mail-Dienst bereitstellen will, muss ich mich um dessen Stabilität, Sicherheit und Verfügbarkeit kümmern. Hierfür benötige ich Informationen über die an der Leistungserbringung beteiligten Assets (in ITIL auch Configuration Items genannt) und deren Beziehungen untereinander. Mich interessieren Dinge wie deren Kapazitäten, Leistungsfähigkeit, aber auch deren Alter und zugehörige Service-Level, die ich in Anspruch nehmen kann, wenn ein Defekt auftritt.

Im Gegensatz zu SAM interessieren mich daher sowohl andere Objekte (nicht mehr nur die „softwaretragenden“ Hardwaretypen) wie Monitore, Netzwerk-Komponenten, Drucker etc., als auch andere Attribute (nicht mehr nur die für die Lizenzbedarfsberechnung erforderlichen) wie bspw. Anschaffungsdatum, Lieferant, Service-Level, die ich dann im Sinne eines echten ITAM erhebe und verwalte. Hier sprechen wir dann sicher nicht mehr von einem SAM.

Auch die nachfolgenden Beispiele zeigen Tätigkeitsfelder auf, die ein echtes ITAM erfordern:

• Asset Management für das Security Management (Cybersicherheit und Grundschutz)

Das Security Management ist eine Disziplin, die bereits von einem sehr guten SAM stark profitiert. Auch hier sind die Informationen über die eingesetzte Software von hoher Bedeutung. Um Sicherheitslücken identifizieren zu können, reicht jedoch der für das Lizenzmanagement erforderliche Datenbestand oftmals nicht aus. So genügt es für das Lizenzmanagement, die lizenzrelevante Majorversion einer eingesetzten Software zu erheben – bspw. Microsoft Visio 2019. Die Sicherheitslücken ergeben sich jedoch aus der konkreten Minorversion, die rein lizenzrechtlich betrachtet völlig irrelevant ist. Dieser Fall verdeutlicht, dass hier mindestens die zu erhebenden Attribute erweitert werden müssen.

Aber auch die zu betrachtenden Objekte sind im Gegensatz zu einem (zum Zweck des Lizenzmanagements praktizierten) SAM nehmen zu: hier sind mindestens alle Geräte relevant, die einen Netzwerkanschluss besitzen, da über diesen versucht werden kann, in das Netzwerk einzudringen und dieses zu kompromittieren (unabhängig davon, ob auf den Geräten Software installiert werden kann oder nicht).

Für ein funktionierendes, zuverlässiges Security Management muss man sogar die Welt der IT im engeren Sinn verlassen, da auch Geräte über einen Netzwerkanschluss verfügen, die klassischerweise nicht zur IT zählen: gemeint ist Operative Technologie (OT), womit man die Steuerungssysteme von bspw. Produktionsanlagen, Windrädern oder ähnlichem beschreibt.

So betrachtet reicht auch der Begriff ITAM nicht mehr aus, weshalb man hier besser von ITAM/OTAM sprechen sollte, um den Betrachtungsgegenstand präzise zu beschreiben.  

• Asset Management für die Anlagenbuchhaltung

Auch aus den Grundsätzen ordnungsgemäßer Buchführung ergeben sich konkrete Anforderungen an ein ITAM. Hier interessieren (nur) alle Assets ab einem gewissen Wert – und im Unterschied zu den zuvor genannten Beispielen unabhängig davon, ob diese Software tragen oder einen Netzwerkanschluss besitzen. Dabei stehen insbesondere Anschaffungs- und aktuelle Restwerte, wie auch die Nachvollziehbarkeit und Belegbarkeit des ursprünglichen Beschaffungsvorgangs im Fokus. Wann wurde was, wo beschafft, wer war der Anfordernde, wer der Freigebende und vor allem welcher kaufmännischen Anlage, Kostenstelle oder welchem Kostenträger wurde das Ganze dann zugewiesen?

Bei diesem Verwendungszweck kommen also wieder andere Objekte, und zu den bereits betrachteten Objekten zusätzlich weitere Attribute ins Spiel.

• Asset Management für das Nachhaltigkeitsmanagement

Ein relativ neuer Trend und eine zunehmende Anforderung ist die Beantwortung von Nachhaltigkeitsfragen wie bspw. die nach dem „CO2-Footprint“ einer Organisation. Unternehmen müssen zunehmend darlegen können, welche Technologien sie einsetzen und welcher Energiebedarf damit einhergeht, um entsprechende Ratings zu erhalten, die ihnen wiederum bei öffentlichen Auftragsvergaben, Fördermittelvergaben oder Finanzierungsangelegenheiten Vorteile verschaffen.

Auch hier kann ein passendes ITAM unterstützen, wenn darüber die entsprechenden Informationen erhoben und verwaltet werden.

Fazit:

Ich denke es wird deutlich, dass ein ITAM/OTAM viele Fragestellungen unterstützen und damit erhebliche Mehrwerte schaffen kann, wenn man es richtig gestaltet. Wie so oft liegt der Schlüssel in der Verfügbarkeit von Daten für die verschiedenen Verwendungszwecke. Um diese zu erheben und deren Vollständigkeit und Aktualität zu gewährleisten, muss man sich die Prozesse anschauen, die Einfluss auf die jeweiligen Daten haben und ggf. „zurecht rücken“. Eine Kombination aus diesbezüglich optimierten Geschäftsprozessen und zusätzlich etablierten Verifikations- und Korrekturprozessen ist hier der richtige Ansatz.

Wenn Sie Fragen zu dieser komplexen Thematik haben oder ein wirksames, effizientes ITAM/OTAM in Ihrer Organisation einführen wollen, kontaktieren Sie uns gerne – wir begleiten Sie mit unserer Expertise bei Ihrem Vorhaben!