In vielen Branchen sind Unternehmen verpflichtet, bestimmte Compliance-Vorgaben und Sicherheitsstandards einzuhalten.

Ausgabe 08 | 2024

Change Management – Änderungen im Griff

Andreas Wisler, goSecurity AG

Änderungen an der IT-Infrastruktur sind eine tägliche Aufgabe eines IT-Teams. Auch die ISO 27001:2022 fordert im Kapitel 8.32 folgendes: «Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen müssen Gegenstand von Änderungsmanagementverfahren sein». Daraus wird ersichtlich, dass diese nicht einfach ad hoc gemacht werden sollen, sondern nach einem definierten Verfahren, dem IT Service Change Management (kurz ITSCM).

ITSCM bezieht sich auf den strukturierten Ansatz zur Verwaltung von Änderungen in IT-Diensten, um sicherzustellen, dass diese Änderungen minimalen Einfluss auf den laufenden Betrieb haben. Dieser Artikel beleuchtet die Bedeutung von ITSCM, seine Hauptkomponenten und bewährte Praktiken für eine erfolgreiche Implementierung.

Was ist IT Service Change Management?
IT Service Change Management ist ein Teilbereich des IT-Service-Managements (ITSM), der darauf abzielt, Änderungen in IT-Diensten systematisch zu planen, zu steuern und umzusetzen. Ziel ist es, Risiken zu minimieren und sicherzustellen, dass Änderungen reibungslos und effizient durchgeführt werden. Dies umfasst sowohl technische Änderungen wie Software-Updates und Hardware-Upgrades als auch organisatorische Änderungen wie Prozessanpassungen und Einführung neuer IT-Services.

Die Bedeutung von IT Service Change Management
Minimierung von Ausfallzeiten
Ungeplante Ausfallzeiten können erhebliche finanzielle Verluste und Reputationsschäden verursachen. ITSCM hilft, solche Risiken zu minimieren, indem Änderungen sorgfältig geplant und überwacht werden.

Sicherstellung der Servicequalität
Durch strukturierte Änderungsprozesse bleibt die Qualität der IT-Dienste erhalten oder wird sogar verbessert, was die Zufriedenheit der Endnutzer erhöht.

Compliance und Sicherheit
In vielen Branchen sind Unternehmen verpflichtet, bestimmte Compliance-Vorgaben und Sicherheitsstandards einzuhalten. ITSCM hilft, diese Anforderungen zu erfüllen, indem es Änderungen kontrolliert und dokumentiert.

Die Hauptkomponenten des ITSM

Änderungsantrag (Change Request)
Jede geplante Änderung beginnt mit einem Änderungsantrag, der detaillierte Informationen über die vorgeschlagene Änderung, ihre Notwendigkeit, potenzielle Auswirkungen und die betroffenen Systeme enthält.

Bewertung und Genehmigung
Ein Change Advisory Board (CAB) bewertet den Änderungsantrag auf seine Durchführbarkeit und die potenziellen Risiken. Nur genehmigte Änderungen werden zur Umsetzung freigegeben.

Planung und Koordination
Nach der Genehmigung wird ein detaillierter Plan erstellt, der alle Schritte zur Umsetzung der Änderung, die benötigten Ressourcen und den Zeitrahmen enthält.

Implementierung
Die Änderung wird gemäss dem Plan umgesetzt. Dies kann die Installation von Updates, Konfigurationsänderungen oder die Einführung neuer Systeme umfassen.

Überwachung
Nach der Implementierung wird die Änderung überwacht, um sicherzustellen, dass sie wie geplant funktioniert und keine unerwünschten Auswirkungen hat.

Dokumentation
Jede Änderung wird dokumentiert, um eine vollständige Historie aller Änderungen zu führen.

Risiken
Es gibt eine Menge von Bedrohungen und Schwachstellen, welche für das Change Management von besonderer Bedeutung sind. Nachfolgende Punkte behandeln die Kernthemen:

  • Die Zuständigkeiten sind nicht oder nur mangelhaft festgelegt.
  • Das Change-Management ist innerhalb der Organisation zu wenig bekannt oder wird zu wenig akzeptiert.
  • Die Geschäftsprozesse sowie die Fachaufgaben sind zu wenig bekannt, insbesondere die Schnittstellen zu den Umsystemen.
  • Die Dokumentationen sind veraltet, was zu Fehlinformationen führen kann.
  • Es stehen zu wenig personelle, finanzielle und oder zeitliche Ressourcen zur Verfügung.
  • Automatisierte Verteilmöglichkeiten, welche zur Verfügung stehen, werden zu wenig sorgfältig beurteilt.
  • Wiederherstellungsmöglichkeiten werden zu wenig beachtet.
  • Sorgfältige Priorisierung der zahlreichen Änderungen, welche mitunter durchgeführt werden müssen.
  • Daten und Werkzeuge, welche beim Change-Management eingesetzt werden, wurden manipuliert.

Bewährte Praktiken

  1. Ein gut definiertes Änderungsmanagement-Prozessmodell: Ein klarer und detaillierter Prozess, der alle Schritte des Änderungsmanagements beschreibt, ist entscheidend für den Erfolg. Dies umfasst die Erstellung, Bewertung, Genehmigung, Implementierung und Überwachung von Änderungen.
  2. Einsatz von ITSM-Tools: Moderne ITSM-Tools bieten Funktionen zur Automatisierung und Verwaltung von Änderungsprozessen. Sie unterstützen bei der Verfolgung von Änderungsanforderungen, der Kommunikation zwischen Teams und der Dokumentation.
  3. Schulung und Bewusstseinsbildung: Mitarbeiter sollten regelmässig geschult werden, um die Bedeutung von ITSCM zu verstehen und die Prozesse korrekt anzuwenden. Bewusstseinsbildung hilft, eine Kultur des strukturierten Änderungsmanagements zu fördern.
  4. Risikobewertung und Management: Jede Änderung sollte einer gründlichen Risikobewertung unterzogen werden, um potenzielle Auswirkungen zu identifizieren und geeignete Massnahmen zur Risikominderung zu planen.
  5. Einbindung der Stakeholder: Alle betroffenen Parteien, einschliesslich IT-Teams, Endnutzer und Management, sollten in den Änderungsprozess einbezogen werden. Dies fördert Transparenz und Akzeptanz.
  6. Kontinuierliche Verbesserung: Der Änderungsmanagementprozess sollte regelmässig überprüft und verbessert werden, um Effizienzsteigerungen und Anpassungen an neue Anforderungen zu ermöglichen.

Change-Prozess
Klassisch wird zwischen drei Arten von Changes unterschieden:

Standard Change
Ein Standard Change ist ein Change-Prozess der wiederkehrend mit den gleichen Anforderungen durchgeführt wird. Dies sind zum Beispiel Installationen von Sicherheits-Patches.

Normaler Change
Ein normaler Change hat einen einmaligen Charakter. Dieser Change kann in ähnlicher Art wie schon einmal oder in sehr unterschiedlicher Natur sein. Deshalb wird dieser Change vor der Freigabe beurteilt. In der Grafik wird ein normaler Change aufgezeigt.

Notfall Change
Ein Notfall Change ist ein Change in einer Notfallsituation. Ein Notfall-Change wird nur von qualifiziertem Personal, das allfällige Folgen abschätzen und korrigieren kann, durchgeführt. Die Beurteilung des Changes wird zwingend und zeitnah nach der Durchführung durch den CISO (verantwortlich für die Informationssicherheit) und/oder das Change Advisory Board vorgenommen und dokumentiert.

Fazit
IT Service Change Management ist ein wesentlicher Bestandteil, der Unternehmen hilft, Änderungen effizient und sicher zu verwalten. Durch gut definierte Prozesse, den Einsatz geeigneter Tools und die Einbindung aller Stakeholder können Unternehmen die Qualität ihrer IT-Dienste sicherstellen und gleichzeitig Risiken minimieren. In einer sich ständig verändernden digitalen Welt ist ITSCM unerlässlich, um den Betrieb reibungslos und effektiv aufrechtzuerhalten. Unternehmen, die ITSCM erfolgreich implementieren, sind besser gerüstet, um den Herausforderungen der digitalen Transformation zu begegnen.

ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch

Dezember

Valve World Expo, Düsseldorf

Internationale Fachmesse mit Kongress für Industrie-Armaturen
3. bis 5. Dezember
www.valveworldexpo.de

Januar

Logistics & Automation, Zürich

Branchentreffpunkt für die Logistikindustrie
22. und 23. Januar
www.logistics-automation.ch

Empack, Zürich

Branchentreffpunkt der Schweizer Verpackungsindustrie
22. und 23. Januar
www.empack-schweiz.ch

Februar

KPA, Ulm

Marktplatz für Design, Entwicklung, und Beschaffung von Kunststoffprodukten
25. und 26. Februar
www.kpa-messe.de

LOPEC, München

Internationale Fachmesse und Kongress für gedruckte Elektronik
25. bis 27. Februar
www.lopec.com