Das Änderungsprotokoll erfasst jede geplante und durchgeführte Änderung an IT-Systemen, Konfigurationen und Infrastruktur. Ohne diese Dokumentation fehlt bei einem Sicherheitsvorfall die entscheidende Frage: Was hat sich kürzlich geändert?
ISO 27001 fordert in Control A.8.32 ein strukturiertes Änderungsmanagement. Änderungen an Informationsverarbeitungseinrichtungen und -systemen müssen einem definierten Prozess folgen — mit Risikoeinschätzung, Genehmigung, Umsetzung und Nachkontrolle.
Was enthält die Vorlage?
Die CSV-Vorlage bildet den Änderungsprozess von der Beantragung bis zum Abschluss ab:
- Change-ID und Titel — eindeutige Kennung und verständliche Beschreibung
- Kategorie — Standard-Change, normaler Change, Notfall-Change
- Antragstellende Person und Datum — wer hat die Änderung beantragt?
- Betroffene Systeme — Verknüpfung zum Asset-Register
- Risikoeinschätzung — welche Auswirkung hat die Änderung auf die Informationssicherheit?
- Genehmigende Person und Genehmigungsdatum — wer hat freigegeben?
- Umsetzungsdatum und verantwortliche Person — wer hat implementiert, wann?
- Rollback-Plan — wie kann die Änderung rückgängig gemacht werden?
- Ergebnis — erfolgreich, teilweise erfolgreich, zurückgerollt
So nutzt du das Protokoll
Vor der Umsetzung dokumentieren. Jede geplante Änderung wird vor ihrer Durchführung im Protokoll erfasst. Die Beschreibung enthält, was geändert wird, warum, welche Systeme betroffen sind und welches Risiko besteht. Erst nach formaler Genehmigung darf die Implementierung beginnen.
Umsetzung und Nachkontrolle. Nach der Implementierung prüfst du, ob die Änderung das gewünschte Ergebnis erzielt hat und keine unerwarteten Nebenwirkungen auftreten. Das Ergebnis wird im Protokoll dokumentiert. Fehlgeschlagene Änderungen werden zurückgerollt — der Rollback-Plan aus der Beantragung kommt dann zum Einsatz.
Korrelation mit Vorfällen. Bei einem Sicherheitsvorfall ist das Änderungsprotokoll eine der ersten Quellen, die geprüft wird. Gibt es eine zeitliche Korrelation zwischen einer kürzlichen Änderung und dem Vorfall? Diese Verknüpfung setzt eine lückenlose Dokumentation voraus.
| ID | Titel | Typ | Kategorie | Antragsteller | Verantwortlich | Systeme | Risiko | Auswirkung | Rollback-Plan | Geplanter Start | Geplantes Ende | CAB-Datum | CAB-Entscheidung | Tatsächliches Ergebnis | Abschlussdatum |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CHG-2026-001 | Upgrade Veeam-Backup-Server auf v12.1 | Normal | Infrastruktur | IT-Betrieb | Markus Schulz | AST-008 | Mittel | Backup-Fenster um 2 h verlängert | Restore aus Snapshot | 2026-03-15 22:00 | 2026-03-15 04:00 | 2026-03-11 | Genehmigt | Erfolgreich | 2026-03-16 |
| CHG-2026-002 | FIDO2-Schlüssel für Admin-Konten ausrollen (Phase 1) | Normal | Sicherheit | ISB | Anna Weber | Alle Admin-Konten | Niedrig | Änderung des Admin-Anmeldeflusses | Richtlinie zurücksetzen + TOTP beibehalten | 2026-04-05 18:00 | 2026-04-05 20:00 | 2026-04-01 | Genehmigt | Erfolgreich | 2026-04-06 |
| CHG-2026-003 | Notfall-Patch FortiOS (CVE-2025-32756) | Notfall | Sicherheit | IT-Betrieb | Markus Schulz | AST-010 | Hoch | 5 min Ausfall beim Failover | Firmware zurückrollen | 2025-05-14 02:00 | 2025-05-14 02:30 | Nachgenehmigt 2025-05-14 | Genehmigt | Erfolgreich | 2025-05-14 |
| CHG-2026-004 | VPN Pre-Shared Key rotieren | Standard | Sicherheit | IT-Betrieb | IT-Betrieb | AST-011 | Niedrig | Keine (rollend) | N/A | 2026-04-01 20:00 | 2026-04-01 20:30 | Vorab genehmigt (Standard) | Genehmigt | Erfolgreich | 2026-04-01 |
| CHG-2026-005 | Neues VLAN für IoT-Geräte hinzufügen | Normal | Netzwerk | Facility | Markus Schulz | AST-010 | Niedrig | Keine | VLAN entfernen | 2026-03-20 19:00 | 2026-03-20 21:00 | 2026-03-18 | Genehmigt | Erfolgreich | 2026-03-20 |
| CHG-2026-006 | Fileserver auf neuen Storage migrieren | Normal | Infrastruktur | IT-Betrieb | Markus Schulz | AST-004 | Hoch | 4 h Ausfall | DNS auf alten Server zurücksetzen | 2026-05-10 22:00 | 2026-05-11 02:00 | 2026-05-06 | Genehmigt | Geplant | |
| CHG-2026-007 | S3-Public-Access-Block Account-weit aktivieren | Normal | Sicherheit | ISB | Anna Weber | AST-012 | Niedrig | Keine (Bucket bereits privat) | Einstellung zurücksetzen | 2026-03-18 16:00 | 2026-03-18 16:15 | 2026-03-18 | Genehmigt | Erfolgreich | 2026-03-18 |
| CHG-2026-008 | AUP v2.1 aktualisieren | Standard | Richtlinie | ISB | Anna Weber | Dokumentensystem | Niedrig | Keine | Auf v2.0 zurücksetzen | 2026-02-01 09:00 | 2026-02-01 09:30 | Vorab genehmigt (Standard) | Genehmigt | Erfolgreich | 2026-02-01 |
| CHG-2026-009 | Neuen EDR-Agenten auf Flotte ausrollen | Normal | Sicherheit | IT-Betrieb | Markus Schulz | AST-006 | Mittel | Möglicher Performance-Einfluss | Deinstallation via MDM | 2026-04-18 18:00 | 2026-04-18 22:00 | 2026-04-15 | Genehmigt | In Bearbeitung | |
| CHG-2026-010 | Quartalspatches Q2 einspielen | Standard | Sicherheit | IT-Betrieb | IT-Betrieb | AST-004 AST-005 AST-006 | Mittel | Neustart erforderlich | Patch via WSUS zurückrollen | 2026-04-10 22:00 | 2026-04-11 04:00 | Vorab genehmigt (Standard) | Genehmigt | Erfolgreich | 2026-04-11 |
| ID | Title | Type | Category | Requester | Owner | Systems | Risk | Impact | Rollback Plan | Planned Start | Planned End | CAB Date | CAB Decision | Actual Result | Closure Date |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CHG-2026-001 | Upgrade Veeam backup server to v12.1 | Normal | Infrastructure | IT Operations | Markus Schulz | AST-008 | Medium | Backup window extended by 2h | Restore from snapshot | 2026-03-15 22:00 | 2026-03-15 04:00 | 2026-03-11 | Approved | Success | 2026-03-16 |
| CHG-2026-002 | Deploy FIDO2 keys to admin accounts (phase 1) | Normal | Security | ISO | Anna Weber | All admin accounts | Low | Admin login flow change | Revert policy + keep TOTP | 2026-04-05 18:00 | 2026-04-05 20:00 | 2026-04-01 | Approved | Success | 2026-04-06 |
| CHG-2026-003 | Emergency FortiOS patch (CVE-2025-32756) | Emergency | Security | IT Operations | Markus Schulz | AST-010 | High | 5 min outage during failover | Roll back firmware | 2025-05-14 02:00 | 2025-05-14 02:30 | Post-approved 2025-05-14 | Approved | Success | 2025-05-14 |
| CHG-2026-004 | Rotate VPN pre-shared key | Standard | Security | IT Operations | IT Operations | AST-011 | Low | None (rolling) | N/A | 2026-04-01 20:00 | 2026-04-01 20:30 | Pre-approved (standard) | Approved | Success | 2026-04-01 |
| CHG-2026-005 | Add new VLAN for IoT devices | Normal | Network | Facilities | Markus Schulz | AST-010 | Low | None | Remove VLAN | 2026-03-20 19:00 | 2026-03-20 21:00 | 2026-03-18 | Approved | Success | 2026-03-20 |
| CHG-2026-006 | Migrate file server to new storage | Normal | Infrastructure | IT Operations | Markus Schulz | AST-004 | High | 4h downtime | Revert DNS to old server | 2026-05-10 22:00 | 2026-05-11 02:00 | 2026-05-06 | Approved | Planned | |
| CHG-2026-007 | Enable S3 public-access block account-wide | Normal | Security | ISO | Anna Weber | AST-012 | Low | None (bucket already private) | Revert setting | 2026-03-18 16:00 | 2026-03-18 16:15 | 2026-03-18 | Approved | Success | 2026-03-18 |
| CHG-2026-008 | Update Acceptable Use Policy v2.1 | Standard | Policy | ISO | Anna Weber | Document system | Low | None | Revert to v2.0 | 2026-02-01 09:00 | 2026-02-01 09:30 | Pre-approved (standard) | Approved | Success | 2026-02-01 |
| CHG-2026-009 | Deploy new EDR agent to fleet | Normal | Security | IT Operations | Markus Schulz | AST-006 | Medium | Possible performance hit | Uninstall via MDM | 2026-04-18 18:00 | 2026-04-18 22:00 | 2026-04-15 | Approved | In progress | |
| CHG-2026-010 | Install quarterly patches Q2 | Standard | Security | IT Operations | IT Operations | AST-004 AST-005 AST-006 | Medium | Reboot required | Rollback patch via WSUS | 2026-04-10 22:00 | 2026-04-11 04:00 | Pre-approved (standard) | Approved | Success | 2026-04-11 |
Quellen
- ISO/IEC 27001:2022, A.8.32 — Änderungsmanagement
- ISO/IEC 27002:2022, Abschnitt 8.32 — Umsetzungshinweise zum Änderungsmanagement
- ITIL 4, Change Enablement — bewährte Praxis für Änderungsprozesse