Was ist Change Management?

Posted on Veröffentlicht in Medien allgemein
Was ist Change Management?
Was ist Change Management?

Change Management leicht erklärt: Wie es funktioniert und warum es dem Mittelstand viel Ärger erspart

Change Management klingt nach Konzernsprache, dabei ist es für jedes Unternehmen wichtig, das IT Systeme, Software, Geräte oder Prozesse betreibt. Mit dem kleinsten Update, dem neuen Druckertreiber oder dem Austausch einer Firewall können Abläufe betroffen sein. Fehlen feste Regeln, sind die Folgen vorprogrammiert: Ausfälle, Sicherheitslücken durch Schnellschüsse, Diskussionen über Zuständigkeiten, schlimmstenfalls sogar der Stillstand im Betrieb. Und genau das soll Change Management erreichen, ohne die Teams auszubremsen.

Change Management ist nichts anderes als ein fester Ablauf, in dem Änderungen geplant, geprüft, genehmigt, umgesetzt und dokumentiert werden. Dabei handelt es sich um Änderungen an IT Systemen, Anwendungen, Konfigurationen, Infrastruktur, Schnittstellen oder auch an produktiven Prozessen, wenn sie IT Abhängigkeiten haben. Das ist einfacher als es klingt. Jede Änderung erhält einen Eigentümer, ein Ziel, ein Risiko Urteil und einen Plan für den Fall, dass etwas schiefgeht. Für viele Unternehmen spielt Cyber Security im Mittelstand eine entscheidende Rolle. Veränderungen können bestehende Schutzmaßnahmen gefährden, neue Schwachstellen schaffen oder unbeabsichtigt das Logging deaktivieren.

Welche Arten von Änderungen gibt es und warum ist eine Einteilung nützlich?

In der Praxis lässt sich Change Management effektiver umsetzen, wenn nicht alle Änderungen gleich behandelt werden. Häufig erfolgt eine Unterteilung in drei Kategorien.

Standardänderungen sind häufige, gut verstandene Anpassungen, die ein geringes Risiko bergen. Ein Beispiel dafür ist das Erstellen eines Benutzerkontos nach einem festgelegten Verfahren oder das Einspielen von Updates innerhalb eines genehmigten Wartungsfensters. Diese Änderungen sollten schnell durchgeführt werden, oft sogar automatisiert.

Normale Änderungen hingegen sind geplante Anpassungen, die ein mittleres bis hohes Risiko mit sich bringen. Dazu zählen beispielsweise VersionUpgrades, größere Anpassungen der Konfiguration oder neue Integrationen. Hier sind in der Regel Tests erforderlich, es ist eine Abstimmung mit den entsprechenden Fachbereichen nötig, und eine klare Genehmigung muss vorliegen.

Emergency Changes sind Notfalländerungen, wenn also eine akute Schwachstelle zugemacht werden muss, oder ein Zusammenbruch eines Systems nur mit sofortigem Handeln behoben werden kann. Auch dazu braucht es Dokumentation, aber nachgelagert. Sonst weiß man später nicht mehr, was nun verändert wurde und warum.

Der Weg in der Praxis: Von Antrag bis Rückfallplan

Ein schlanker Change Prozess besteht aus wiederholbaren Schritten.

Danach folgt die Impact Analyse. Welche Systeme hängen daran. Welche Nutzer sind betroffen. Gibt es Compliance Punkte, Datenschutzpunkte? Ist ein Security Check erforderlich, bei Berechtigungen, Netzregeln, Schnittstellen?

Dann folgt die Planung. Testschritte, Zeitpunkt, Kommunikationsplan, Verantwortliche. Wichtig ist der Rollback Plan. Was passiert, wenn die Änderung nicht funktioniert. Wie kommt man schnell wieder in einen stabilen Zustand zurück.

Dann folgt die Freigabe. Durch verantwortliche Person oder Kleingremium, oft Change Advisory Board genannt. Im Mittelstand sollte ein kleines Set aus IT, Betrieb und einer fachlichen Ansprechperson ausreichen.

Nach der Umsetzung kommt eine kurze Nachkontrolle. Läuft die Dienstleistung. Gibt es Logs? Sind Nutzerprozesse intakt?