Change Management

[t&ʃeɪndʒ ˈmænɪdʒmənt] · auch: Änderungsmanagement, Change Control

Change Management bezeichnet den strukturierten Prozess zur Planung, Genehmigung, Implementierung und Dokumentation von Änderungen an IT-Systemen, Anwendungen und Infrastruktur, um unkontrollierte Risiken und Betriebsausfälle zu vermeiden.

Warum Change Management entscheidend ist

Unkontrollierte Änderungen sind eine der häufigsten Ursachen für Sicherheitsvorfälle und Betriebsausfälle. NIS-2, DORA und ISO 27001 verlangen einen nachweisbaren Change-Management-Prozess – nicht als Bürokratie, sondern weil jede nicht dokumentierte Änderung ein ungeklärtes Risiko darstellt.

Wo Change Management gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.8.32	Änderungen an informationsverarbeitenden Einrichtungen und Systemen müssen kontrolliert durchgeführt werden.
NIS-2 / BSIG	§ 30 Abs. 2	Änderungsmanagement als Teil des ISMS verpflichtend für alle wesentlichen und wichtigen Einrichtungen.
DORA	Art. 9 Abs. 4	IKT-Änderungen müssen klassifiziert, genehmigt und dokumentiert werden, bevor sie produktiv gehen.
ITIL v4	Change Control	Standard-Changes, Normal-Changes und Emergency-Changes werden unterschiedlich behandelt.

BAM-Objektreferenz

BAM-Objekt GOV-CM-01

BeschreibungChange-Management-Prozess mit RFC-Vorlage, CAB-Struktur und Emergency-Change-Regelung

GitHubBAM Core →

Häufige Audit-Fehler

Emergency Changes werden nachträglich nicht dokumentiert
Kein formaler Genehmigungsprozess vor Produktivsetzung
Test und Produktivsystem werden nicht getrennt behandelt
Rollback-Plan fehlt bei großen Änderungen

Change-Typen und ihre Behandlung

Standard-Changes sind vorab genehmigte Routineänderungen mit niedrigem Risiko – sie können ohne Einzelgenehmigung durchgeführt werden, müssen aber protokolliert sein. Normal-Changes durchlaufen den vollen Genehmigungsprozess mit Risikoabschätzung, Testphase und Change-Advisory-Board. Emergency-Changes dürfen schnell implementiert werden, brauchen aber eine rückwirkende Genehmigung und vollständige Dokumentation innerhalb definierter Fristen.

Abgrenzung: Change Management vs. Patch Management

Patch Management ist ein Teilbereich des Change Managements: Jeder Patch ist eine Änderung und muss den Change-Prozess durchlaufen. Change Management ist breiter – es umfasst alle Änderungen an Systemen, Konfigurationen, Anwendungen und Infrastruktur, unabhängig vom Auslöser.

Nächste Ebene

Change Management implementieren: NIS-2 und ISO 27001

Change-Prozess, RFC-Vorlagen, CAB-Struktur und Evidence-Anforderungen für den Audit.

Ebene 2 lesen → NIS-2-Stresstest starten →