Zum Inhalt springen
AMPthilly-Startseite
Jetzt starten
IT-Asset-Management

Was ist ein Asset-Agent?

Was ein Asset-Agent ist: ein kleines Programm, das Hardware und Software eines Geräts an ein Inventarsystem meldet, wie es verteilt wird, warum es nicht mehr meldet und wie es sich vom agentenlosen Scannen unterscheidet.

AMPthilly Aktualisiert

Ein Asset-Agent ist ein kleines Programm auf einem Gerät, das dessen Hardware- und Softwaredetails an ein Inventarsystem meldet.

Ein Asset-Agent ist ein kleines Programm auf einem Rechner, das die Hardware und Software des Geräts inventarisiert und die Details an ein zentrales Asset-Management-System meldet. Er ist der „Agent” in der agentenbasierten Inventarisierung (Discovery) - eine der beiden Standardmethoden, mit denen IT-Asset-Management-Tools erfahren, was tatsächlich auf einem Rechner läuft; die andere ist das agentenlose Scannen über das Netzwerk. Sie finden ihn auch als Inventar-Agent, ITAM-Agent oder Endpoint-Inventar-Agent bezeichnet; gemeint ist immer dasselbe.

Was Sie lernen werden

So funktioniert ein Asset-Agent

Der Agent wird einmal installiert - meist ins Standard-Image integriert oder beim Enrollment über ein Management-Tool ausgerollt - und läuft danach unauffällig im Hintergrund. Nach festem Zeitplan oder bei Änderungen erfasst er ein Inventar und meldet sich bei seinem Server, der den Gerätedatensatz aktualisiert. Der Fußabdruck ist bewusst klein: Der Agent ist die meiste Zeit untätig, wird kurz für einen Scan aktiv und sendet eine kompakte, verschlüsselte Meldung. Weil diese Meldung über das Internet auf dem ausgehenden Standard-HTTPS-Port (Port 443) hinausgeht und nicht nur über das Büronetzwerk, meldet sich ein Laptop im Homeoffice eines Mitarbeiters genauso zuverlässig wie einer am Schreibtisch - der größte praktische Vorteil des Agenten.

Was ein Asset-Agent meldet

Die Details unterscheiden sich je nach Produkt, doch der übliche Datensatz deckt vier Bereiche ab:

  • Hardware - Hersteller, Modell, Seriennummer, CPU, Arbeitsspeicher, Speicher und oft die MAC-Adresse sowie den zuletzt angemeldeten Nutzer.
  • Software - Betriebssystem und Build, installierte Anwendungen und Versionen, manchmal mit einer Nutzungsmessung, welche Anwendungen tatsächlich gestartet werden - Grundlage für Entscheidungen im Software-Lizenzmanagement.
  • Konfiguration und Netzwerk - Hostname, IP-Adresse, Domänen- oder Arbeitsgruppen-Zugehörigkeit sowie zentrale Einstellungen wie Verschlüsselungs- und Firewall-Status.
  • Status - Zeitpunkt der letzten Meldung, Patch-Stand, freier Speicherplatz und Betriebszeit.

In größeren Organisationen speist dieser Strom oft eine CMDB, in der die Gerätedaten mit den abhängigen Services und Systemen verknüpft werden. Er ist außerdem die sauberste Verteidigung gegen Schatten-IT: Ohne Genehmigung installierte Software taucht trotzdem im Bericht des Agenten auf.

Wie ein Asset-Agent verteilt wird

Einen Agenten auf einen Rechner zu bekommen, ist trivial; ihn auf jeden Rechner zu bekommen, ist die eigentliche Arbeit, und jedes ernsthafte ITAM-Tool dokumentiert die Wege. Die vier üblichen:

  1. Golden Image - der Agent ist Teil des Standard-Images, sodass jedes neue Gerät ihn bereits installiert und eingebunden mitbringt.
  2. Ausrollen per Management-Tool - eine vorhandene Endpoint-Management-Plattform installiert den Agenten aus der Ferne auf den Geräten, die sie bereits verwaltet.
  3. Gruppenrichtlinie (GPO) - in einer Active-Directory-Domäne wird ein MSI-Paket über Gruppenrichtlinien zugewiesen, sodass die Domänencomputer es beim nächsten Neustart installieren.
  4. MDM / Intune - das Mobile-Device-Management verteilt den Agenten an eingebundene Windows-Rechner, mit entsprechenden Enrollment-Profilen für macOS und Linux.

Es gibt einen Haken, auf den jeder Rollout stößt: Sie brauchen eine Geräteliste, um Agenten auszurollen, haben aber keine verlässliche Liste, bis die Agenten melden. Dieses Henne-Ei-Problem - manchmal als Verteilungs-Catch-22 bezeichnet - ist genau der Grund, warum ein gepflegtes Register neben den Agenten gehört, nicht erst danach. Ein Register, das aus Beschaffungsdaten und IT-Inventar gespeist wird, sagt Ihnen, welche Rechner melden sollten und noch nicht aufgetaucht sind.

Agentenbasiert vs. agentenlos

Die agentenlose Inventarisierung scannt das Netzwerk von einem zentralen Punkt aus mit Administrator-Zugangsdaten und Standardprotokollen - SNMP für Netzwerkgeräte, WMI unter Windows, SSH oder WinRM für Remote-Abfragen - und befragt alles, was antwortet. Es muss nichts installiert werden - das bedeutet einen schnellen Start und ist die einzige Option für Geräte, die keinen Agenten ausführen können. Der Preis dafür sind Abdeckung und Detailtiefe: Sie sieht nur Geräte, die im Netz, eingeschaltet und zum Zeitpunkt des Scans erreichbar sind, und liefert in der Regel weniger Details. Mit Agenten verhält es sich genau umgekehrt - reichhaltigere Daten von überall, dafür der Aufwand, ein Programm auf jedem Rechner auszurollen und zu pflegen, samt der kleinen Angriffsfläche und Patch-Last, die dieses Programm hinzufügt. Viele Teams setzen auf beides: Agenten auf den mobil genutzten Laptops, geplante Scans für die feste Infrastruktur, die das Rack nie verlässt.

Asset-Agent vs. Cloud-Agent vs. Security-Agent

„Agent” ist überladen, und die Verwirrung ist am größten, wenn drei verschiedene Arten auf demselben Endgerät laufen:

  • Asset- / Inventar-Agent - meldet Hardware- und Software-Inventar für das ITAM. Das ist der hier beschriebene.
  • Security- / EDR-Agent - überwacht das Endgerät auf Bedrohungen und verdächtiges Verhalten und kann blockieren oder in Quarantäne verschieben. Seine Aufgabe ist Schutz, nicht Inventar.
  • Monitoring- / Cloud-Agent - verfolgt Cloud- oder SaaS-Workloads, häufig über APIs statt über ein installiertes Programm, was ihn auf der Plattformseite praktisch agentenlos macht.

Sie koexistieren problemlos; ein verwalteter Laptop trägt vielleicht alle drei. Wenn ein Anbieter oder Kollege „der Agent” sagt, lohnt es sich zu klären, welchen er meint, bevor man Notizen vergleicht.

Geräte, die keinen Agenten ausführen können

Ein Agent läuft nur auf einem Allzweckcomputer - Windows-, macOS- oder Linux-Desktops, -Laptops und -Server. Eine große Klasse stromführender, vernetzter Geräte kann schlicht keinen beherbergen, weil es keinen Ort gibt, an dem sich Software installieren lässt: Netzwerk-Switches und Router, Drucker und Multifunktionsgeräte, IP-Telefone, industrielle und Operational-Technology-Geräte (OT) sowie die breite Familie eingeschränkter, eingebetteter Geräte, die der Markt als IoT bezeichnet. Diese existieren als Gerätekategorien in jedem Bestand; ein Agent wird sie nie abdecken. Agentenlose Protokolle können einige davon befragen, doch der Rest wird nur erfasst, weil jemand sie eingetragen hat. Das ist dieselbe Lücke, die ein gepflegtes Register und Inventaretiketten schließen sollen.

Warum ein Asset-Agent nicht mehr meldet

Selbst auf Rechnern, die einen Agenten ausführen können, verfällt die Abdeckung. Ein Gerät, das sich eine Weile nicht gemeldet hat - viele Tools markieren alles jenseits von rund 15 Tagen als veraltet (stale) -, hat meist eine aus einer kurzen Liste von Ursachen erwischt:

  • Der Agent wurde deinstalliert oder beschädigt oder war von Anfang an nie installiert.
  • Der Rechner ist offline, ausgemustert oder neu aufgesetzt, ohne erneut eingebunden zu werden.
  • Die ausgehende Verbindung ist blockiert durch einen Proxy oder eine Firewall, sodass der Agent seinen Server auf Port 443 nicht erreicht.
  • Eine frühere Installation hat einen Duplikat-Datensatz hinterlassen, sodass ein physisches Gerät als zwei erscheint.

Das ist Agent-Drift: die Lücke zwischen dem, was die zentrale Konsole meldet, und dem, was die Flotte wirklich ist - sie wächst still, während Rechner wegfallen. Die praktische Lehre lautet: Eine Agentenzählung ist für sich genommen nie ein sauberes Inventar - sie braucht einen regelmäßigen Abgleich mit einem Register, das unabhängig davon gepflegt wird, ob jeder Agent noch nach Hause telefoniert.

Was ein Agent nicht sieht

Über die software-unfähigen Geräte oben hinaus ist ein Agent blind für alles, was stromlos oder peripher ist: Monitore, Dockingstations, Headsets, Tastaturen, die noch verpackten Ersatz-Laptops im Schrank und alles, was monatelang gelöscht oder ausgeschaltet war. Geräte hören außerdem genau dann auf zu melden, wenn es am meisten darauf ankommt - wenn sie verloren gehen, ausgemustert werden oder in einer Kiste vor der IT-Asset-Disposition stehen.

Die Inventarisierung beantwortet also die Frage „was läuft auf den Rechnern” - nie „wo ist alles und wer hat es”. Diese Seite braucht ein gepflegtes Register und physische Etiketten, ganz gleich wie gut die Agentendaten sind. AMPthilly deckt genau die Register- und Etikettenseite ab: ein Register für IT und physische Ausstattung, mit druckbaren QR-Etiketten, die mit einer normalen Handykamera im Browser gescannt werden - keine App zu installieren -, sodass sich auch die stromlose Ausrüstung, die kein Agent je melden wird, per Scan identifizieren lässt. Agentendaten und Register ergänzen einander, sie konkurrieren nicht.

FAQ

Was ist der Unterschied zwischen agentenbasierter und agentenloser Inventarisierung? Bei der agentenbasierten Inventarisierung wird auf jedem Gerät ein kleines Programm installiert, das ein detailliertes Inventar von überall mit Internetverbindung meldet. Die agentenlose Inventarisierung scannt das Netzwerk von einem zentralen Punkt aus mit Administrator-Zugangsdaten und Standardprotokollen wie SNMP, WMI sowie SSH oder WinRM - es wird nichts installiert, dafür sieht sie nur Geräte, die zum Zeitpunkt des Scans eingeschaltet und erreichbar sind, und das meist mit weniger Details. Viele Organisationen kombinieren beides: Agenten auf den mobil genutzten Laptops, geplante Scans für die feste Infrastruktur.

Wie wird ein Asset-Agent über eine ganze Geräteflotte verteilt? Die meisten Teams rollen den Agenten auf eine von vier Arten aus: ins Standard-Image (Golden Image) integriert, sodass jedes neue Gerät ihn mitbringt; per Management-Tool ausgerollt; als MSI-Paket über Gruppenrichtlinien in einer Active-Directory-Domäne verteilt; oder über MDM wie Intune für Windows samt der entsprechenden Enrollment-Profile für macOS und Linux. Der Haken ist das Henne-Ei-Problem - Sie brauchen eine Geräteliste, um Agenten auszurollen, haben aber keine verlässliche Liste, bis die Agenten melden. Ein gepflegtes Register schließt genau diese Lücke.

Wie oft meldet sich ein Asset-Agent? Das Melde-Intervall ist konfigurierbar, und die richtige Einstellung ist ein Kompromiss. Viele Agenten sind auf ein bis zwei Meldungen pro Tag eingestellt, doch die Intervalle lassen sich für schnelllebige Flotten auf wenige Minuten verkürzen oder zur Entlastung des Servers verlängern. Manche senden zusätzlich sofort ein Update, wenn sich etwas ändert - neue Software installiert, ein anderer angemeldeter Nutzer -, statt auf den nächsten geplanten Zyklus zu warten.

Warum fehlt ein Gerät im Inventar meines Asset-Agenten? Meist, weil der Agent veraltet ist oder nie installiert wurde. Häufige Ursachen: Der Agent wurde deinstalliert, ist beschädigt oder kam nie auf das Gerät; das Gerät ist offline, wurde ohne erneutes Enrollment neu aufgesetzt oder ausgemustert; eine ausgehende Verbindung wird von einem Proxy oder einer Firewall auf Port 443 blockiert; oder eine frühere Installation hat einen Duplikat-Datensatz hinterlassen. Quellen markieren einen Agenten oft nach rund 15 Tagen ohne Meldung als veraltet. Da die Abdeckung still verfällt, driftet die zentrale Zählung von der Realität weg und braucht einen regelmäßigen Abgleich mit einem gepflegten Register.

Was ist der Unterschied zwischen einem Asset-Agenten und einem Security-Agenten (EDR)? Es sind verschiedene Aufgaben, die zufällig das Wort „Agent” teilen. Ein Asset- oder Inventar-Agent meldet Hardware- und Softwarefakten für das IT-Asset-Management. Ein Security- oder EDR-Agent überwacht das Endgerät auf Bedrohungen und verdächtiges Verhalten und kann blockieren oder in Quarantäne verschieben. Ein Monitoring- oder Cloud-Agent verfolgt Cloud-Workloads, oft über APIs statt über ein installiertes Programm. Alle drei können auf demselben Rechner laufen; dieser Artikel meint die Inventar-Variante.

Verlangsamt ein Asset-Agent den Computer? Selten in spürbarer Weise. Inventar-Agenten sind auf Leichtgewichtigkeit ausgelegt: Sie sind die meiste Zeit untätig, werden kurz für einen Scan aktiv und senden eine kleine, verschlüsselte Meldung über das Internet. CPU-, Arbeitsspeicher- und Festplattennutzung sind gering, doch über Tausende Rechner hinweg lohnt es sich, den kumulierten Fußabdruck und den Pflegeaufwand für gesunde Agenten einzuplanen.

Überwachen Asset-Agenten die Mitarbeiteraktivität? Ein Inventar-Agent meldet Fakten über das Gerät: Hardware-Ausstattung, Seriennummer, installierte Software samt Versionen, Patch-Status und in der Regel den zuletzt angemeldeten Nutzer. Er zeichnet keine Tastatureingaben, Nachrichten oder das Surfverhalten auf. Manche Suiten ergänzen eine Messung der Software-Nutzung - wie oft Anwendungen gestartet werden, um Lizenzentscheidungen zu untermauern -, doch auch das betrifft die Software und nicht die Person. Was auch immer erfasst wird, sollte klar in der Nutzungsrichtlinie festgehalten sein.

Brauche ich einen Asset-Agenten für Asset-Management? Nur wenn Sie automatisches, detailliertes Inventar von Computern brauchen - es ist der einfachste Weg, Softwarelisten und Patch-Status über eine Flotte aktuell zu halten. Für den Rest Ihrer Ausrüstung tut er nichts: Monitore, Docks, Headsets, Werkzeuge und alles, was noch verpackt im Schrank steht, meldet sich nie. Die meisten Teams brauchen ohnehin ein gepflegtes Asset-Register; der Agent ist ein optionaler Datenfeed ins Register, kein Ersatz dafür.

Fazit

Ein Asset-Agent ist der zuverlässigste Weg, ein detailliertes, aktuelles Inventar der Computer in Ihrer Flotte zu führen - welche Hardware sie sind, welche Software sie ausführen und ob sie gepatcht sind. Doch er ist ein Datenfeed, nicht das ganze Bild: Er muss an einem Henne-Ei-Problem vorbei verteilt werden, er kann nicht auf Switches, Druckern, Telefonen oder stromloser Ausrüstung laufen, und seine Abdeckung driftet, während Agenten veralten. Die dauerhafte Antwort ist ein gepflegtes Register, in das der Agent einspeist, mit physischen Etiketten für alles, was der Agent nie sehen wird.

Tools, die das erleichtern

AMPthilly ist die Register- und Etikettenhälfte dieses Gespanns. Ein Register hält IT-Hardware, physische Ausstattung und Softwarelizenzen zusammen; jedes Objekt erhält ein druckbares QR-Etikett, das mit einer normalen Handykamera im Browser gescannt wird, ohne App-Installation; und Ausgabe, Rückgabe sowie eine vollständige Audit-Historie halten die Eigentümerschaft aktuell. Wo die Agentendaten enden - die Docks, die Headsets, die verpackten Ersatzgeräte, die Ausrüstung vor der Entsorgung -, macht das Register weiter. Kostenlos starten oder sprechen Sie mit uns.

Verwandte Begriffe

Glossar

Weiterlesen

Verwandte Leitfäden

Glossarbegriffe in diesem Leitfaden

Kostenlos starten, keine Kreditkarte nötig

Setzen Sie Ihr Register produktiv ein

AMPthilly gibt jedem Asset einen Eigentümer, einen Standort und eine Historie - Ausgabe und Rückgabe, druckbare QR-Etiketten, Service Desk und Audit-Historie an einem Ort. Der Free-Plan deckt 3 Nutzer und 25 Assets ab, SSO und MFA inklusive.

Kostenlos starten Funktionen ansehen