Bundesamt für Sicherheit in der Informationstechnik

M 2.423 Festlegung der Verantwortlichkeiten für das Patch- und Änderungsmanagement

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT

Verantwortlich für Umsetzung: Leiter IT

Beim Aufbau des Patch- und Änderungsmanagements müssen eine Reihe von Verantwortlichkeiten geregelt werden. Es ist dabei sicherzustellen, dass für jeden Aufgaben- und Organisationsbereich exakt definiert ist, welche Verantwortlichkeiten im Patch- und Änderungsprozess ein Mitarbeiter besitzt und wie die Koordination zwischen den einzelnen Bereichen abzulaufen hat.

Teilweise ist es üblich, dass die Mitarbeiter verschiedener Bereiche einer Institution unterschiedliche Verantwortlichkeiten bezüglich der Durchführung von Änderungen besitzen. So kann beispielsweise ein Bereich für die Betreuung der Basis-Betriebssysteme zuständig sein und ein anderer Bereich die darauf installierten Dienste (z. B. E-Mail-Server, Fachanwendung, etc.) betreuen. Dies kann dann dazu führen, dass unterschiedliche Bereiche für das Patchen eines Gesamtsystems verantwortlich sein können. In solchen Fällen ist es besonders wichtig, dass die Zuständigkeiten sauber festgelegt worden sind.

Die so aufgeteilten Verantwortlichkeiten sollten sich auch im Berechtigungskonzept bei der Konfiguration der Werkzeuge für die Verteilung von Patch- und Änderungen und des IT-Systems wieder finden.

Es ist unbedingt ein koordinierter Ablauf von Änderungen erforderlich. Kein Mitarbeiter darf Änderungen durchführen, ohne diese vorher mit dem Änderungsmanagement abzusprechen. Auch alle Mitarbeiter des IT-Betriebs müssen relevante Änderungen grundsätzlich mit dem Änderungsmanagement absprechen. Damit wird sichergestellt, dass etwaige Änderungen sich nicht gegenseitig behindern oder gar zu einem Systemausfall führen.

Die zentrale Rolle, die die Koordination und Bewertung der Änderungen übernimmt, ist der Änderungsmanager (Change Manager). Hierfür muss in der Institution eine Person benannt sein, um ein effizientes und effektives Patch- und Änderungsmanagement zu betreiben. Der Änderungsmanager filtert, akzeptiert und klassifiziert sämtliche Änderungsanforderungen. Er ist zudem sowohl für die notwendigen Autorisierungen als auch die Planung, Koordinierung und Durchführung von Änderungen verantwortlich.

Bei einer Institution mindestens mittlerer Größe oder mit komplexen IT-Infrastrukturen sollte der Änderungsmanager bei seiner Arbeit durch ein Change Advisory Board (CAB) unterstützt werden. Es hat sich bewährt, neben den mit der technischen Umsetzung von Patch- und Änderungsaufgaben betrauten Personen auch eine Person aus jeder Fachabteilung als Mitglied in das CAB zu berufen. Das CAB wird regelmäßig zu bestimmten Zeiten einberufen, um Änderungen zu beurteilen und dem Änderungsmanager zu helfen, diese einzuschätzen, zu priorisieren und zu autorisieren. In der Regel wird dem CAB nur die Auswahl schwerwiegender Änderungen vorgelegt. Zu diesem Zweck kann das CAB hinsichtlich seiner Mitglieder unterschiedlich zusammengesetzt sein. Das komplette CAB könnte beispielsweise alle 3 Monate zusammenkommen und über kritische Änderungsanforderungen diskutieren.

Für unkritische regelmäßige Änderungen können die Absprachen direkt zwischen dem Änderungsmanager und den verantwortlichen Administratoren bzw. dem Test-Team erfolgen.

Damit das CAB seine Tätigkeiten angemessen durchführen kann, müssen seine Mitglieder die Bedeutung und Auswirkung von Änderungen sowohl aus Sicht der Geschäftsziele und -prozesse als auch vom technischen Standpunkt aus beurteilen können.

Prüffragen:

  • Sind für alle Organisationsbereiche Verantwortliche für das Patch- und Änderungsmanagement benannt?

  • Spiegeln sich die festgelegten Zuständigkeiten beim Patch- und Änderungsmanagement auch im Berechtigungskonzept wieder?

  • Ist ein Änderungsmanager benannt worden?

  • Sind alle mit der Umsetzung des Patch- und Änderungsmanagementprozesses betrauten Personen mit den Begriffen des Patch- und Änderungsmanagement, der Informationssicherheit und der kryptographischen Verfahren vertraut?

Stand: 13. EL Stand 2013