Bundesamt für Sicherheit in der Informationstechnik

M 2.221 Änderungsmanagement

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Änderungsmanager, Fachverantwortliche

Bei der Komplexität heutiger IT-Systeme können bereits kleine Änderungen an laufenden Systemen zu Sicherheitsproblemen führen, z. B. durch unerwartetes Systemverhalten oder Systemausfälle.

In Bezug auf Informationssicherheit ist es Aufgabe des Änderungsmanagements, neue Sicherheitsanforderungen zu erkennen, die sich aus Änderungen an IT-Systemen ergeben. Sind signifikante Hardware- oder Software-Änderungen an einem IT-System geplant, so sind die Auswirkungen auf die Sicherheit des Gesamtsystems zu untersuchen. Änderungen an einem IT-System dürfen nicht zu einer Verringerung der Effizienz von einzelnen Sicherheitsmaßnahmen und damit einer Gefährdung der Gesamtsicherheit führen.

Daher sollte es Richtlinien für die Durchführung von Änderungen an IT-Komponenten, Software oder Konfigurationsdaten geben (siehe M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen ). Alle Änderungen an IT-Komponenten, Software oder Konfigurationsdaten sollten geplant, getestet, genehmigt und dokumentiert werden. Es ist dafür Sorge zu tragen, dass auf alle sicherheitsrelevanten Änderungen angemessen reagiert wird. Dazu gehören zum Beispiel:

  • Änderungen an IT-Systemen (neue Applikationen, neue Hardware, neue Netzwerkverbindungen, Modifikationen an der eingesetzten Software, Einspielen von Sicherheitspatches, Aufrüstung der Hardware, usw.),
  • Änderungen in der Aufgabenstellung oder in der Wichtigkeit der Aufgabe für die Institution,
  • Änderungen in der Benutzerstruktur (neue, etwa externe oder anonyme, Benutzergruppen),
  • räumliche Änderungen, z. B. nach einem Umzug.

Bevor Änderungen genehmigt und durchgeführt werden, muss durch Prüfung und Test der geplanten Aktionen sichergestellt werden, dass das Sicherheitsniveau während und nach der Änderung erhalten bleibt. Wenn Risiken, insbesondere für die Verfügbarkeit, nicht ausgeschlossen werden können, muss die Planung auch eine Rückfall-Lösung vorsehen und Kriterien vorgeben, wann diese zum Tragen kommen soll.

Alle Änderungen und die dazugehörigen Entscheidungsgrundlagen sind zu dokumentieren. Dies gilt sowohl in der Betriebs- als auch in einer Testumgebung.

Beim Änderungsmanagement ist das Berechtigungskonzept zur Durchführung von Änderungen ein wichtiger Punkt:

  • Nur diejenigen, die Änderungen durchführen dürfen, sollten Zugriffsberechtigungen auf die dafür relevanten Systembereiche haben.
  • Es sollte Mechanismen geben, die sicherstellen, dass alle wesentlichen Änderungen vorher abgestimmt wurden.

Hinweis: Bei der Durchführung von Änderungen sollte immer beachtet werden, dass Änderungen eines IT-Systems oder seiner Einsatzbedingungen

  • Änderungen in der Umsetzung einzelner Sicherheitsmaßnahmen,
  • die Erstellung eines neuen Sicherheitskonzepts oder sogar
  • die Überarbeitung der organisationsweiten Leitlinie zur Informationssicherheit

erforderlich machen können. Bei größeren Änderungen sollte daher das Informationssicherheitsmanagement involviert werden.

Prüffragen:

  • Gibt es Richtlinien für die Durchführung von Änderungen an IT -Komponenten, Software oder Konfigurationsdaten?

  • Ist geregelt, dass bei der Durchführung von Änderungen auch Sicherheitsaspekte berücksichtigt werden müssen?

  • Werden alle Änderungen geplant, getestet, genehmigt und dokumentiert?

  • Werden Rückfall-Lösungen erarbeitet, bevor Änderungen durchgeführt werden?

  • Wird bei größeren Änderungen das Informationssicherheitsmanagement beteiligt?

Stand: 13. EL Stand 2013