Änderungen in der IT erfassen 8 Tipps für erfolgreiche Change- und Configuration-Management-Prozesse

Autor / Redakteur: Armin Schaal, Tufin / Stephan Augsten

Nichts bleibt wie es ist – das gilt fürs Privatleben ebenso wie für den Lebenszyklus der Firmen-IT. In allen Bereichen, von Servern über Storage-Systeme bis hin zu Netzwerk-Komponenten, kommt es ständig zu Änderungen. Ungeplant führen sie ins Chaos, eingebunden in ein klar geregeltes Change-Management bewirken sie eine effizientere IT.

Ein effektiver Security-Change-Lifecycle umfasst alle Stufen des Change Management. (Tufin Technologies)
Ein effektiver Security-Change-Lifecycle umfasst alle Stufen des Change Management. (Tufin Technologies)

Die IT eines Unternehmens ist ständig in Bewegung. Es werden neue Server installiert, andere außer Dienst genommen und zusätzliche Applikationen eingerichtet. Auch die Konfigurations- und Sicherheitseinstellungen der Netzwerk-Geräte, Firewalls und Router ändern sich nahezu täglich.

Permanente Änderungen sind die Normalität, aber sie müssen kompetent umgesetzt werden, damit die gewünschten Ergebnisse auch tatsächlich eintreten. Doch bislang haben sich IT-Verantwortliche in Sachen Change- und Configuration-Management von IT-Systemen „einfach so durchgemogelt“.

Viele Unternehmen spüren den Druck, dass es so nicht mehr weitergehen kann, wissen aber nicht, womit sie anfangen sollen. Vornehmlich besteht die Aufgabe darin, klare Prozesse und Verfahren festzulegen und sie auch zu befolgen.

Wo ist etwas schiefgegangen?

Jeder kennt die Situation: Man kommt an einem Montag ins Büro und stellt fest, dass nichts so funktioniert wie es sollte, nachdem am Wochenende Wartungsarbeiten durchgeführt und neue Applikationen installiert wurden. Die IT arbeitet mit Hochdruck daran, den Fehler zu finden, damit der Betrieb weitergehen kann.

Hier und dort werden auf die Schnelle bestimmte Änderungen vorgenommen, damit der Stillstand nicht zu lange dauert. Das alles läuft in der Regel unkoordiniert – Hauptsache alle Systeme laufen wieder. Die negativen Auswirkungen solcher Notoperationen zeigen sich meist erst viel später und führen dann oft zu neuen, noch schwerwiegenderen Ausfällen.

Zu massiven Problemen kann es kommen, wenn die Änderungen an den Systemen und Einstellungen nicht dokumentiert wurden und für Außenstehende nicht nachvollziehbar sind. Kündigen sich beispielsweise Wirtschaftsprüfer an, kann dies zu unangenehmen Situationen kommen – speziell dann, wenn bei den Änderungen offensichtlich gegen geltende Vorschriften und Compliance-Vorgaben verstoßen wurde. Abhilfe schafft ein klar geregeltes Change- und Configuration-Management. Die wichtigsten Aspekte lassen sich in acht Punkten zusammenfassen.

Acht Tipps fürs Change- und Configuration-Management

1. Unternehmen müssen die aktuellen Abläufe bei der Administration von IT-Systemen, Firewalls und Routern ermitteln und dokumentieren. Als Vorbild einer neuen Lösung gilt die IT Infrastructure Library (ITIL). Dabei handelt es sich um bewährte Verfahren und Vorgehensweisen, die eine mögliche Umsetzung eines IT-Service-Managements (ITSM) beschreiben und inzwischen international als De-facto-Standard dafür gelten.

2. Notwendig ist eine Definition der Vorgänge bei einer Änderungsanfrage und der gesamten damit verbundenen Dokumentation. Zu einem späteren Zeitpunkt muss nachvollziehbar sein, wer warum welche Änderungsanfrage gestellt hat. In der einfachsten Form genügt es, dafür ein E-Mail-Formular auszufüllen, das dann an einen genau festgelegten Kreis von Empfängern geht.

3. Ist die Änderungsanfrage eingegangen, müssen Prozesse in Gang gesetzt werden, die das Change- und Configuration-Management von IT-Systemen, Firewalls und Routern regeln. Dazu gehört beispielsweise, wer welche Änderung an welchen Komponenten ausführen darf. Oft müssen Anfragen priorisiert werden und es muss erkennbar sein, welcher Zeitaufwand benötigt wird. All diese Schritte müssen nachvollziehbar aufgezeichnet werden. Last but not least sollte auch derjenige, der die Änderungsanfrage stellte, darüber informiert werden was aus seiner Anfrage wurde: abgelehnt, auf eine späteren Zeitpunkt verschoben oder erfolgreich umgesetzt.

4. Einige größere Unternehmen haben ein Change Advisory Board eingerichtet, in dem die Fachabteilungen und die IT vertreten sind. Falls nicht anders geregelt, prüft das Team alle Änderungsanfragen, bewertet die Auswirkungen auf andere Fachabteilungen und evaluiert mögliche damit verbundene Risiken für das Business. Das Ergebnis muss dem Antragsteller mitgeteilt werden und dem Administrator, der die Änderungen dann umsetzen muss.

5. Unternehmen müssen den Wandel genau planen. In der Planungsphase ist es wichtig, dass alle Konflikte identifiziert werden, die der Neuerung entgegenstehen, um unerwünschte Nebenwirkungen von Anfang an auszuschließen. Möglicherweise ist es an dieser Stelle notwendig, dass jemand diese Rolle übernimmt, der nicht mit der Umsetzung betraut ist. Hier kommt es darauf an, dass alle internen und externen Vorgaben und Compliance-Vorschriften eingehalten werden.

6. Wird die Änderung umgesetzt, muss sie auch eindeutig und nachvollziehbar dokumentiert werden. Im idealen Fall werden diese Aktivitäten von zwei Personen ausgeführt. Damit werden Interessenkonflikte ausgeschlossen und es ist eine zusätzliche Kontrolle und Nachvollziehbarkeit für künftige Audits jeder Art gewährleistet.

7. Es ist zu überprüfen, ob die genehmigten Änderungen tatsächlich, korrekt und vollständig umgesetzt wurden. Nur so lässt sich sicherstellen, dass es im gesamten Workflow keine Lücken gibt. Darüber hinaus muss es einen Backup-Plan geben. Nicht jede Änderung – und sei sie noch so wünschenswert, sinnvoll oder notwendig – führt zu dem gewünschten Ergebnis. Falls der Effekt ausbleibt oder gar unerwartete Ereignisse eintreten, muss es möglich sein, die Neuerungen zurückzunehmen und den Ausgangszustand wieder herzustellen. Ist alles ordnungsgemäß aufgezeichnet, gelingt es vermutlich auch, den Punkt ausfindig zu machen, an dem die Änderung scheiterte.

8. Der gesamte Change- und Configuration-Management-Prozess muss in regelmäßigen Abständen, beispielsweise zwei Mal im Jahr, auf den Prüfstand. Dann erweist sich, ob alle Vorschriften und Vorgehensweisen ihren Zweck erfüllen oder ob an der einen oder anderen Stelle nachgebessert werden muss. Gerade in der IT, wo nahezu alle Komponenten einem mehr oder minder raschen Wandel unterworfen sind, kommt es immer wieder zu neuen Anforderungen, die zu berücksichtigen sind.

Armin Schaal ist Vice President Sales EMEA bei Tufin Technologies.

(ID:30594820)