Brauche ich für Konfiguration und Änderungen zwei getrennte Richtlinien?

Eine reicht. ISO 27001 führt zwei Controls (A 8.9 und A 8.32), aber die Themen greifen so eng ineinander, dass ein gemeinsames Dokument den Pflegeaufwand senkt. Unsere Vorlage behandelt beides in einem Dokument mit klaren Abschnitten.

Was gehört in eine CMDB?

Pro Konfigurationselement: Name, verantwortliche Person, aktuelle Konfigurationsversion, Vorlage (Template), auf der die Konfiguration basiert, Datum der letzten Änderung und Abhängigkeiten zu anderen Elementen. Die CMDB muss kein teures Tool sein — eine gepflegte Tabelle erfüllt den Zweck, solange sie die verbindliche Quelle bleibt.

Wie oft muss ich einen Soll-Ist-Vergleich durchführen?

Mindestens jährlich für alle Systeme und nach jeder wesentlichen Änderung. Für kritische Systeme empfehlen CIS Benchmarks und BSI eine höhere Frequenz — idealerweise automatisiert über Compliance-Scanner, die Abweichungen sofort melden.

Was ist der Unterschied zwischen einer Routine-Änderung und einer wesentlichen Änderung?

Routine-Änderungen sind vorab genehmigte, risikoarme Standardänderungen (z. B. Passwort-Reset, Patch nach Freigabe). Wesentliche Änderungen betreffen mehrere Systeme, haben ein höheres Risiko oder verändern die Architektur — sie brauchen eine formale Folgenabschätzung und Genehmigung durch das Change Advisory Board.

Wie gehe ich mit Notfall-Änderungen um?

Notfall-Änderungen durchlaufen einen beschleunigten Genehmigungsprozess — die Dokumentationsanforderungen bleiben gleich. Innerhalb von fünf Arbeitstagen nach der Änderung wird die vollständige Dokumentation nachgereicht und ein Post-Implementation-Review durchgeführt.

Richtlinie zu Konfigurations- und Änderungsmanagement

Jede produktive Umgebung basiert auf Konfigurationen — Betriebssysteme, Netzwerkgeräte, Datenbanken, Cloud-Dienste. Wenn du nicht weißt, wie deine Systeme konfiguriert sind, und wenn Änderungen ohne nachvollziehbaren Prozess passieren, fehlt dir die Grundlage für jede weitere Sicherheitsmaßnahme.

ISO 27001 adressiert das mit zwei Annex-A-Controls: A 8.9 (Konfigurationsmanagement) und A 8.32 (Änderungsmanagement). BSI IT-Grundschutz widmet dem Thema gleich mehrere Bausteine (OPS.1.1.1, OPS.1.1.2, OPS.1.1.3, APP.6). CIS Benchmarks liefern die konkreten Härtungsvorlagen. Weiter unten findest du die komplette Vorlage auf Deutsch und Englisch.

Zwei ISO-27001-Controls in einem Dokument. A 8.9 (Konfigurationsmanagement) legt fest, wie Systeme gehärtet und dokumentiert werden. A 8.32 (Änderungsmanagement) regelt, wie Änderungen geplant, genehmigt und nachverfolgt werden.
Gehärtete Standard-Templates auf Basis von CIS Benchmarks, BSI-Empfehlungen und DISA STIGs — in isolierter Umgebung getestet, bevor sie produktiv gehen.
CMDB als verbindliche Quelle für den Konfigurationszustand: verantwortliche Person, letztes Änderungsdatum, Template-Version, Abhängigkeiten.
Formaler Änderungsprozess mit Folgenabschätzung, Autorisierungsstufen (Routine / wesentlich / schwerwiegend), Tests in separater Umgebung, Rollback-Verfahren und Change-Aufzeichnungen.
Automatisierter Soll-Ist-Vergleich über Compliance-Scanner — Abweichungen werden bewertet und behoben.

Worum geht es konkret?

Ein Server, der seit der Erstinstallation unverändert läuft, hat mit hoher Wahrscheinlichkeit unnötige Dienste aktiviert, Standard-Passwörter in Konfigurationsdateien und veraltete Protokolle. Die Richtlinie definiert, wie du diesen Zustand verhinderst — und wie du sicherstellst, dass jede spätere Änderung kontrolliert abläuft.

Konfigurationsmanagement beantwortet die Frage: Wie sollen unsere Systeme aussehen? Du definierst gehärtete Vorlagen (Templates), die auf anerkannten Benchmarks basieren — CIS, BSI, DISA STIGs. Jedes neue System wird anhand dieser Vorlagen aufgesetzt. Die CMDB dokumentiert den Soll-Zustand und macht ihn prüfbar.

Änderungsmanagement beantwortet die Frage: Wie stellen wir sicher, dass Änderungen kontrolliert und nachvollziehbar passieren? Jede Änderung durchläuft einen definierten Prozess — von der Planung über die Folgenabschätzung bis zur Genehmigung, Umsetzung und Nachkontrolle.

Warum ist sie so wichtig?

Angriffsfläche reduzieren. Jeder Dienst, jeder offene Port und jedes aktivierte Protokoll ist eine potenzielle Eintrittspforte. Gehärtete Konfigurationen minimieren diese Angriffsfläche systematisch. CIS Benchmarks zeigen regelmäßig, dass Standard-Installationen dutzende unnötige Dienste aktiviert haben.

Nachvollziehbarkeit bei Vorfällen. Wenn ein System kompromittiert wird, ist die erste Frage: Was hat sich geändert? Ohne Change-Aufzeichnungen und eine aktuelle CMDB lässt sich diese Frage kaum beantworten. Der Soll-Ist-Vergleich zeigt sofort, welche Konfigurationen vom Zielzustand abweichen.

Stabilität im Betrieb. Die meisten schwerwiegenden Ausfälle werden durch unkontrollierte Änderungen verursacht. Ein formaler Änderungsprozess mit Folgenabschätzung, Testphase und Rollback-Verfahren fängt Fehler ab, bevor sie die Produktion erreichen.

Was gehört in die Richtlinie?

Die Vorlage deckt zwei große Bereiche ab — hier die wichtigsten Inhalte:

Konfigurationsmanagement (A 8.9):

Gehärtete Standard-Templates — erstellt auf Basis von CIS Benchmarks, BSI-Empfehlungen und DISA STIGs, getestet in isolierter Umgebung
Identitätshärtung — privilegierte Konten minimieren, unnötige Built-in-Accounts deaktivieren, Dienst-Minimierung (nur erforderliche Dienste, Protokolle und Funktionen)
CMDB — jedes Konfigurationselement mit verantwortlicher Person, letztem Änderungsdatum, Template-Version und Abhängigkeitsbeziehungen
Soll-Ist-Vergleich — automatisierte Compliance-Scans, Abweichungen bewerten und beheben

Änderungsmanagement (A 8.32):

Formaler Änderungsprozess — Planung mit Folgenabschätzung, Autorisierungsstufen (Routine / wesentlich / schwerwiegend), Kommunikation an Betroffene
Tests in separater Umgebung — jede wesentliche Änderung wird vor dem produktiven Einsatz getestet, inklusive Deployment-Plan und Rollback-Verfahren
Change Advisory Board — Gremium für wesentliche Änderungen mit Vertretungen aus IT-Betrieb, Informationssicherheit und betroffenen Fachabteilungen
Notfall-Änderungen — beschleunigtes Genehmigungsverfahren, gleiche Dokumentationsanforderungen, Post-Implementation-Review
Dokumentationspflichten — Betriebsdokumentation und Notfallpläne werden nach jeder Änderung aktualisiert

So führst du die Richtlinie ein

01

Ist-Zustand der Konfigurationen erheben

Bevor du Soll-Konfigurationen definierst, brauchst du ein Bild des aktuellen Zustands. Welche Systeme laufen produktiv? Welche davon haben dokumentierte Konfigurationen? Wo existieren noch Standard-Installationen ohne Härtung? Diese Bestandsaufnahme zeigt dir, wo die größten Lücken liegen — und liefert die Grundlage für die Priorisierung.
02

Gehärtete Templates erstellen

Wähle für jede Systemkategorie (Betriebssysteme, Datenbanken, Netzwerkgeräte, Cloud-Dienste) einen anerkannten Benchmark als Ausgangspunkt — CIS Benchmarks sind frei verfügbar und gut dokumentiert. Passe die Vorgaben an eure Umgebung an und teste jedes Template in einer isolierten Umgebung, bevor es produktiv eingesetzt wird.
03

CMDB aufbauen und befüllen

Die CMDB muss kein Enterprise-Tool sein. Entscheidend ist, dass sie die verbindliche Quelle für den Konfigurationszustand wird. Pro Element: Name, verantwortliche Person, Template-Version, letztes Änderungsdatum, Abhängigkeiten. Beginne mit den kritischen Systemen und erweitere schrittweise.
04

Änderungsprozess definieren und kommunizieren

Lege die Autorisierungsstufen fest: Routine-Änderungen (vorab genehmigt), wesentliche Änderungen (formale Genehmigung durch das Change Advisory Board), schwerwiegende Änderungen (Genehmigung durch die Geschäftsleitung). Definiere den Ablauf von der Antragstellung über die Folgenabschätzung bis zum Rollback-Verfahren. Kommuniziere den Prozess an alle, die Änderungen durchführen oder beantragen.
05

Automatisierten Soll-Ist-Vergleich einrichten

Implementiere Compliance-Scanner, die Konfigurationen regelmäßig gegen die gehärteten Templates prüfen. Abweichungen werden automatisch gemeldet, bewertet und in den Korrekturprozess eingespeist. Ohne Automatisierung bleibt der Soll-Ist-Vergleich eine manuelle Übung, die bei wachsender Systemlandschaft schnell an Grenzen stößt.

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. Konfigurationen ohne Baseline. Systeme werden installiert, manuell konfiguriert und nie gegen einen definierten Standard geprüft. Jeder Server sieht anders aus, niemand weiß, welche Dienste aktiviert sind. Bei der nächsten Schwachstellenmeldung fehlt die Grundlage, um zu bewerten, ob das eigene System betroffen ist.

2. Änderungen ohne Folgenabschätzung. Ein Patch wird eingespielt, ein Dienst aktiviert, eine Firewall-Regel geändert — alles ohne vorherige Analyse der Auswirkungen. Der Ausfall am Montagmorgen lässt sich dann auf die Freitag-Änderung zurückführen, die niemand geprüft hat.

3. CMDB existiert, aber niemand pflegt sie. Die Datenbank wurde einmal aufgebaut und ist seit zwei Jahren veraltet. Neue Systeme werden nicht eingetragen, Änderungen nicht nachgeführt. Im Audit ist eine veraltete CMDB schlimmer als gar keine — sie suggeriert einen Überblick, der nicht existiert.

4. Notfall-Änderungen als Regelfall. Der beschleunigte Genehmigungsprozess für Notfälle wird zum Standardweg, weil er schneller ist. Nach sechs Monaten laufen 40 % aller Änderungen als Notfall — mit entsprechend lückenhafter Dokumentation.

5. Kein Rollback-Verfahren. Die Änderung geht schief, aber es gibt keinen dokumentierten Weg zurück. Das Team improvisiert unter Zeitdruck — und macht dabei zusätzliche Fehler. Jede wesentliche Änderung braucht einen getesteten Rollback-Plan, bevor sie in die Produktion geht.

Vorlage: Richtlinie zu Konfigurations- und Änderungsmanagement

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Technologische Maßnahmen:

A 8.9 — Konfigurationsmanagement
A 8.32 — Änderungsmanagement

BSI IT-Grundschutz:

OPS.1.1.1.A5 (Festlegung gehärteter Standardkonfigurationen)
OPS.1.1.1.A7 (Sicherstellung eines ordnungsgemäßen IT-Betriebs)
OPS.1.1.1.A8 (Regelmäßiger Soll-Ist-Vergleich)
OPS.1.1.2.A11 (Dokumentation von IT-Administrationstätigkeiten)
OPS.1.1.2.A26 (Konfigurationssicherung)
APP.6.A4 (Regelungen für die Installation und Konfiguration von Software)
OPS.1.1.3.A1 (Konzept für das Patch- und Änderungsmanagement)
OPS.1.1.3.A2 (Festlegung von Verantwortlichkeiten)
OPS.1.1.3.A5 (Umgang mit Änderungsanforderungen)
OPS.1.1.3.A6 (Abstimmung von Änderungsanforderungen)
OPS.1.1.3.A7 (Integration des Änderungsmanagements in die Geschäftsprozesse)
OPS.1.1.3.A10 (Sicherstellung der Integrität und Authentizität von Softwarepaketen)
OPS.1.1.3.A11 (Kontinuierliche Dokumentation der Informationsverarbeitung)

Weitere jurisdiktionsspezifische Gesetze und Vorschriften sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt Regeln für die Verwaltung der Sicherheitskonfigurationen von Hardware, Software, Diensten und Netzwerken sowie für die Steuerung von Änderungen an informationsverarbeitenden Einrichtungen und Informationssystemen bei [IHR_ORGANISATIONSNAME] fest. Sie stellt sicher, dass IT-Komponenten während ihres gesamten Lebenszyklus mit den erforderlichen Sicherheitseinstellungen betrieben werden und dass Änderungen kontrolliert, dokumentiert und unter Wahrung der Informationssicherheit umgesetzt werden.

Die Richtlinie gilt für alle IT-Systeme, Anwendungen, Dienste, Netzwerke und Infrastrukturkomponenten, die von oder im Auftrag der Organisation betrieben werden, einschließlich Cloud-gehosteter Umgebungen. Sie umfasst alle Personen und Dritten, die diese Komponenten konfigurieren, administrieren, ändern oder warten.

Konfigurations- und Änderungsmanagement sind komplementäre Disziplinen: Das Konfigurationsmanagement definiert und setzt den sicheren Basiszustand von IT-Komponenten durch, während das Änderungsmanagement sicherstellt, dass jede Abweichung vom oder Aktualisierung dieses Basiszustands geplant, genehmigt, getestet und dokumentiert wird. Gemeinsam adressieren sie eine grundlegende Ursache von Sicherheitsausfällen — unkontrollierte Konfigurationen und nicht verwaltete Änderungen.

3. Sichere Konfigurationsverwaltung (A 8.9)

Konfigurationen — einschließlich Sicherheitskonfigurationen — für Hardware, Software, Dienste und Netzwerke werden eingerichtet, dokumentiert, umgesetzt, überwacht und überprüft. IT-Komponenten werden kategorisiert und für jede Kategorie wird eine gehärtete Standardkonfiguration definiert. Diese Templates setzen die Sicherheitsanforderungen der Organisation um und berücksichtigen Herstellerempfehlungen sowie öffentlich verfügbare Sicherheitsleitfäden. Software wird mit minimal erforderlicher Funktionalität und minimal notwendigen Berechtigungen installiert, wobei datensparsame Datenschutzeinstellungen standardmäßig angewendet werden. Alle Konfigurationsdaten werden vor unbefugtem Zugriff geschützt und ihre Integrität bleibt gewahrt.

3.1 Gehärtete Standardtemplates

Öffentlich verfügbare Leitfäden: Gehärtete Standardtemplates werden unter Verwendung öffentlich verfügbarer Leitfäden entwickelt, einschließlich Hersteller-Sicherheits-Baselines, Empfehlungen anerkannter Sicherheitsorganisationen (z. B. BSI IT-Grundschutz, CIS Benchmarks, DISA STIGs) und branchenüblicher Best Practices. Die Quellenverweise für jedes Template werden daneben dokumentiert.
Bestimmung des Schutzniveaus: Das erforderliche Sicherheitsniveau für jedes Konfigurationstemplate wird durch den Schutzbedarf der IT-Komponentenkategorie bestimmt — speziell durch die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Daten und bereitgestellten Dienste. Höhere Schutzbedarfe führen zu strengeren Konfigurations-Baselines.
Ausrichtung an Richtlinien: Jedes Konfigurationstemplate ist mit der Informationssicherheitsrichtlinie der Organisation, themenspezifischen Richtlinien, geltenden Standards und sonstigen Sicherheitsanforderungen abgestimmt. Templates werden vor der Bereitstellung auf Konsistenz mit der Zugriffskontroll-Richtlinie, dem Datenklassifizierungsschema und geltenden Compliance-Verpflichtungen überprüft.
Machbarkeit & Anwendbarkeit: Bevor ein Konfigurationstemplate finalisiert wird, werden seine Machbarkeit und Anwendbarkeit im spezifischen operativen Kontext der Organisation bewertet. Wo eine Sicherheitsanforderung aus einer Referenz-Baseline nicht ohne Funktionsbeeinträchtigung oder unverhältnismäßige operative Auswirkungen umgesetzt werden kann, wird eine kompensierende Maßnahme dokumentiert und genehmigt.

Jedes Konfigurationstemplate ist versionskontrolliert, eindeutig identifizierbar und an einem sicheren, zugriffskontrollierten Ort gespeichert. Templates werden in einer isolierten Umgebung getestet, bevor sie auf Produktionssysteme ausgerollt werden. Sicherheitsupdates für Software werden angewendet, bevor Komponenten in den Produktivbetrieb gehen.

3.2 Identitäts- und Zugriffshärtung

Minimierung privilegierter Identitäten: Die Anzahl der Identitäten mit privilegierten oder administratorischen Zugriffsrechten auf eine IT-Komponente wird minimiert. Gemeinsam genutzte oder generische Administrationskonten werden vermieden; wo technisch unvermeidbar, wird deren Nutzung strikt kontrolliert und jede Aktion ist einer Einzelperson zurechenbar. Die Rollentrennung zwischen administrativen und normalen operativen Funktionen wird durch getrennte Konten durchgesetzt.
Deaktivierung unnötiger Identitäten: Unnötige, ungenutzte oder unsichere vorinstallierte Konten und Identitäten (z. B. Gastkonten, anonyme Zugriffskonten, nicht mehr benötigte Hersteller-Servicekonten) werden als Teil des initialen Härtungsprozesses und fortlaufend deaktiviert oder entfernt. Wenn Personen die Organisation verlassen oder Rollen wechseln, werden die zugehörigen Identitäten umgehend überprüft und deaktiviert.

3.3 Dienst- und Funktionsminimierung

Deaktivierung unnötiger Funktionen & Dienste: Nur Dienste, Protokolle, Funktionen und Features, die für den operativen Zweck einer IT-Komponente erforderlich sind, werden aktiviert. Unnötige Funktionen — einschließlich nicht genutzter Netzwerkdienste, Demo- oder Beispielanwendungen, ungenutzter Skript-Engines und überflüssiger Betriebssystemkomponenten — werden deaktiviert oder deinstalliert. Software wird mit dem minimal erforderlichen Funktionsumfang installiert.
Einschränkung des Zugriffs auf Dienstprogramme & Host-Parameter: Der Zugriff auf mächtige Dienstprogramme (z. B. Shell-Interpreter, Registry-Editoren, Diagnosewerkzeuge, Bootloader-Konfigurationsschnittstellen) und Host-Parameter-Einstellungen ist auf autorisierte Administratoren beschränkt. Wo möglich, wird der Zugriff über rollenbasierte Berechtigungen gesteuert, und die Nutzung solcher Programme wird protokolliert.

3.4 System-Basiskonfiguration

Zeitsynchronisation: Uhren aller IT-Komponenten werden über NTP oder ein gleichwertiges Protokoll mit einer autoritativen Zeitquelle synchronisiert. Genaue und konsistente Zeitstempel über Systeme hinweg sind erforderlich für Log-Korrelation, Vorfalluntersuchung, Zertifikatsvalidierung und Audit-Nachweise.
Hersteller-Standard-Authentisierungsinformationen: Hersteller-voreingestellte Passwörter, Authentisierungstoken, Zertifikate und andere Standard-Authentisierungsinformationen werden unmittelbar nach der initialen Installation geändert, bevor ein System an das Produktionsnetzwerk angeschlossen wird. Andere wichtige sicherheitsrelevante Standardparameter (z. B. Standard-Community-Strings, Standard-API-Schlüssel, Standard-Verschlüsselungseinstellungen) werden im Rahmen des initialen Konfigurationsprozesses überprüft und aktualisiert.
Automatisches Session-Timeout: Auf allen interaktiven Rechengeräten und -sitzungen werden Timeout-Funktionen konfiguriert, die das Gerät nach einer definierten Inaktivitätsdauer automatisch abmelden oder sperren. Der Inaktivitätsschwellenwert wird entsprechend der Sensibilität des Systems und der über die Sitzung zugänglichen Daten festgelegt.

3.5 Lizenzprüfung

Lizenz-Compliance: Konfigurationstemplates und Deployment-Prozesse enthalten einen Prüfschritt, der bestätigt, dass Lizenzanforderungen für alle Softwarekomponenten vor der Installation erfüllt sind. Das Software-Lizenzregister (siehe Richtlinie zum Schutz geistigen Eigentums) wird konsultiert, um zu bestätigen, dass die Anzahl der Installationen die lizenzierten Berechtigungen nicht überschreitet und dass Lizenzbedingungen in der Deployment-Konfiguration eingehalten werden.

3.6 Überprüfung & Aktualisierung von Templates

Periodische Template-Überprüfung & Aktualisierung: Alle gehärteten Standardkonfigurationstemplates werden regelmäßig überprüft und aktualisiert, wenn neue Bedrohungen oder Schwachstellen identifiziert werden, die die entsprechende Komponentenkategorie betreffen, wenn neue Software- oder Hardwareversionen sicherheitsrelevante Änderungen einführen oder wenn Hersteller-Sicherheitsleitfäden aktualisiert werden. Nach jeder Überprüfung werden aktualisierte Templates versioniert, getestet und erneut auf betroffene Systeme ausgerollt.

4. Konfigurationsaufzeichnungen & Überwachung (A 8.9)

Konfigurationsaufzeichnungen für alle IT-Komponenten werden in einer Configuration Management Database (CMDB) oder einem gleichwertigen Inventarsystem geführt. Die CMDB ist die maßgebliche Quelle für den Konfigurationszustand und unterstützt sowohl das operative Management als auch die Sicherheitsüberwachung. Der Zugriff auf Konfigurationsaufzeichnungen ist auf autorisiertes IT-Betriebspersonal beschränkt.

4.1 Konfigurationsaufzeichnungen

Eigentümer- & Kontaktinformationen: Jede Konfigurationsaufzeichnung enthält den aktuellen Eigentümer oder die benannte Kontaktstelle für das Asset — die Person, die für die Sicherheitskonfiguration der IT-Komponente verantwortlich ist und Konfigurationsänderungen genehmigt.
Datum der letzten Konfigurationsänderung: Datum und Art der jüngsten Konfigurationsänderung werden für jedes Asset erfasst, damit der IT-Betrieb Komponenten identifizieren kann, die nicht innerhalb der erwarteten Wartungszyklen aktualisiert wurden, und um Konfigurationsänderungen mit Vorfall-Zeitlinien zu korrelieren.
Version des Konfigurationstemplates: Die Version des auf jedes Asset angewendeten gehärteten Standardkonfigurationstemplates wird erfasst. Dies ermöglicht die schnelle Identifizierung von Komponenten, die nicht das aktuelle genehmigte Template verwenden, und erleichtert eine gezielte Behebung nach einem Template-Update.
Abhängigkeitsbeziehungen: Konfigurationsaufzeichnungen erfassen Beziehungen und Abhängigkeiten zwischen Assets — zum Beispiel, welche Server von einer gemeinsamen Datenbankkonfiguration abhängen, welche Anwendungen auf eine bestimmte Middleware-Version angewiesen sind und welche Netzwerkgeräte die Zugriffskontrolle für ein bestimmtes Serversegment durchsetzen. Diese Abhängigkeitszuordnungen werden in Auswirkungsbewertungen für Konfigurationsänderungen verwendet.

4.2 Überwachungsumfang

Wartungsdienstprogramme: Wartungswerkzeuge mit Zugriff auf Systemkonfigurationen (z. B. Software-Deployment-Agents, Patch-Management-Clients, Firmware-Update-Utilities) werden in den Konfigurationsüberwachungsumfang aufgenommen. Ihre eigene Konfiguration unterliegt denselben Härtungs- und Überprüfungsanforderungen wie die von ihnen verwalteten Systeme.
Remote-Support-Werkzeuge: Remote-Support- und Remote-Administrationswerkzeuge (z. B. VPN-Gateways, Jump-Server, Remote-Desktop-Dienste, Out-of-Band-Management-Schnittstellen) werden in die Konfigurationsüberwachung einbezogen. Zugriffe über diese Werkzeuge werden protokolliert, und die Konfigurationen der Remote-Support-Infrastruktur werden gemäß denselben gehärteten Templates wie andere Produktionskomponenten gepflegt.
Enterprise-Management-Werkzeuge: Enterprise-IT-Management-Plattformen (z. B. Configuration Management Databases, IT-Service-Management-Systeme, Monitoring-Plattformen, Identitätsmanagementsysteme) werden in die Konfigurationsüberwachung einbezogen. Aufgrund ihres privilegierten Zugriffs auf die verwaltete Infrastruktur unterliegen diese Systeme verschärften Härtungsanforderungen und regelmäßigen Konfigurationsüberprüfungen.
Backup- & Restore-Software: Backup- und Restore-Softwarekonfigurationen werden in den Überwachungsumfang aufgenommen. Konfigurationssicherungen werden sowohl auf Anwendungs- als auch auf Systemebene nach einem regelmäßigen Zeitplan durchgeführt. Eine zusätzliche Konfigurationssicherung wird vor jeder IT-Administrationsaktivität mit potenziell weitreichenden Auswirkungen erstellt. Die Wiederherstellbarkeit von Konfigurationssicherungen wird regelmäßig verifiziert, um zu bestätigen, dass bei Bedarf ein sauberer Konfigurationszustand wiederhergestellt werden kann.

4.3 Soll-Ist-Vergleich

Ein regelmäßiger Soll-Ist-Vergleich wird für alle IT-Komponenten im Geltungsbereich durchgeführt — vergleicht die aktuelle Konfiguration jeder Komponente mit ihrem definierten gehärteten Standardtemplate. Dieser Vergleich wird wo technisch machbar mit automatisierten Konfigurations-Compliance-Scan-Werkzeugen durchgeführt, die strukturierte Abweichungsberichte erzeugen. Wo Automatisierung nicht möglich ist, werden manuelle Konfigurationsaudits nach einem definierten Zeitplan durchgeführt. Identifizierte Abweichungen werden auf Sicherheitsauswirkungen bewertet, klassifiziert und innerhalb ihrem Risiko angemessener Fristen behoben. Alle Abweichungen und ihr Behebungsstatus werden in der CMDB nachverfolgt. Automatisierung der Konfigurationsdurchsetzung (Infrastructure-as-Code, Desired-State-Configuration-Management) wird eingesetzt, wo betriebliche Bedingungen es zulassen, um das Zeitfenster zwischen Erkennung und Behebung von Konfigurationsabweichungen zu verkürzen.

5. Änderungsmanagement (A 8.32)

Alle Änderungen an informationsverarbeitenden Einrichtungen und Informationssystemen — einschließlich Hardwareersatz, Softwareinstallationen und -aktualisierungen, Konfigurationsänderungen, Netzwerkänderungen und Änderungen an IKT-Diensten — unterliegen einem formalen Änderungsmanagementprozess. Dieser Prozess umfasst Dokumentation, Spezifikation, Test, Qualitätskontrolle und gesteuerte Umsetzung. Unzureichende Änderungskontrolle ist eine anerkannte häufige Ursache von System- und Sicherheitsausfällen; diese Richtlinie stellt sicher, dass jede Änderung vor dem Produktiv-Deployment geplant, genehmigt, getestet und aufgezeichnet wird. Der Änderungsmanagementprozess integriert IKT-Infrastruktur- und Softwareänderungen und gilt für Produktionsumgebungen einschließlich Betriebssysteme, Datenbanken, Middleware und Anwendungssoftware. Softwarepakete werden ausschließlich von vertrauenswürdigen Lieferanten bezogen, und ihre Integrität wird vor der Installation über Prüfsummen oder digitale Signaturen verifiziert. Änderungen werden in einer getrennten Testumgebung getestet, bevor sie in Produktion gehen.

5.1 Änderungsplanung & Auswirkungsanalyse

Planung & Auswirkungsanalyse: Jede Änderungsanforderung enthält eine dokumentierte Auswirkungsanalyse, die sicherheitsrelevante Implikationen, operative Abhängigkeiten und potenzielle Auswirkungen auf andere Systeme und Dienste umfasst. Die in den Konfigurationsaufzeichnungen (Abschnitt 4.1) erfassten Abhängigkeitsbeziehungen fließen in diese Analyse ein. Alle betroffenen Systeme, Dienste und Stakeholder-Gruppen werden vor Einholung der Genehmigung identifiziert. Wo eine Änderung Informationssicherheitsmaßnahmen oder IKT-Kontinuitätsvorkehrungen betreffen könnte, wird die/der Informationssicherheitsbeauftragte als Teil der Analyse konsultiert.

5.2 Genehmigung

Genehmigung von Änderungen: Jede Änderung erfordert vor der Umsetzung eine ausdrückliche Genehmigung. Genehmigungsebenen sind nach Änderungskategorie und potenzieller Auswirkung definiert: Routine-Änderungen mit geringem Risiko werden durch die verantwortliche IT-Betriebs-Teamleitung genehmigt, wesentliche Änderungen mit breiterer Auswirkung erfordern die Genehmigung durch die/den Informationssicherheitsbeauftragte/n und den relevanten Asset-Eigentümer, und Großänderungen an Kerninfrastruktur oder organisationsübergreifenden Geschäftsprozessen erfordern Genehmigung auf Managementebene. Nicht genehmigte Änderungen werden als Sicherheitsvorfälle behandelt. Bei Großänderungen wird die/der ISB in die Genehmigungsentscheidung einbezogen.

5.3 Kommunikation

Kommunikation an interessierte Parteien: Genehmigte Änderungen werden allen relevanten interessierten Parteien vor der Umsetzung kommuniziert. Dies umfasst betroffene Geschäftseinheiten, IT-Betriebsteams, Systemeigentümer und — wo die Änderung extern sichtbare Dienste betrifft — relevante externe Stakeholder. Bei Änderungen mit breiten Auswirkungen wird ein Änderungskalender oder ein geplantes Wartungsfenster im Voraus veröffentlicht. Der Abstimmungsprozess berücksichtigt Informationssicherheitsauswirkungen auf alle Zielgruppen und schließt einen definierten Eskalationspfad für Prioritätsentscheidungen ein.

5.4 Test & Abnahme

Test & Abnahme: Alle Änderungen werden vor der Produktionsbereitstellung in einer getrennten Testumgebung getestet, die die Produktionskonfiguration so genau wie praktisch möglich nachbildet. Abnahmekriterien werden als Teil des Änderungsplans definiert und sind vor dem Übergang der Änderung in die Produktion nachweislich erfüllt. Die Abnahme wird formal mit Name der verantwortlichen Person, Datum und Ergebnis protokolliert. Prüfsummen oder digitale Signaturen von Softwarepaketen werden vor der Installation verifiziert.

5.5 Umsetzung & Deployment

Umsetzungs- & Deployment-Pläne: Änderungen werden gemäß einem dokumentierten Deployment-Plan umgesetzt, der die Abfolge der Schritte, die verantwortlichen Personen, das Umsetzungsfenster, die betroffenen Konfigurationselemente und die Post-Implementation-Verifikationsschritte spezifiziert. Die Umsetzung erfolgt mit den autorisierten Konfigurationsmanagement-Werkzeugen. Konfigurationsaufzeichnungen in der CMDB werden unmittelbar nach erfolgreichem Deployment aktualisiert, um den neuen Zustand widerzuspiegeln. Alle während der Umsetzung durchgeführten administrativen Tätigkeiten werden dokumentiert, mit Angabe was geändert wurde, wann, wer die Änderung vorgenommen hat und die Grundlage oder Begründung der Änderung.

5.6 Notfall- & Rollback-Verfahren

Notfall- & Rollback-Verfahren: Jeder Änderungsplan enthält dokumentierte Fallback- und Rollback-Verfahren, die beschreiben, wie der vorherige Konfigurationszustand wiederhergestellt werden kann, wenn die Änderung fehlschlägt, unerwartete Probleme verursacht oder rückgängig gemacht werden muss. Eine Konfigurationssicherung wird vor jeder Änderung mit potenziell weitreichenden Konsequenzen erstellt. Rollback-Verfahren werden wo machbar in der Testphase getestet. Für Notfalländerungen — erforderlich zur Reaktion auf kritische Sicherheitsvorfälle oder drohende Systemausfälle — ist ein beschleunigtes Genehmigungsverfahren definiert, das die Zurechenbarkeit aufrechterhält und gleichzeitig eine schnelle Reaktion ermöglicht. Notfalländerungen unterliegen denselben Dokumentations- und Nachbetrachtungsanforderungen wie Standardänderungen.

5.7 Änderungsaufzeichnungen

Änderungsaufzeichnungen: Für jede Änderung wird ein vollständiges Protokoll geführt, das Folgendes umfasst: die Änderungsanforderung und ihre Auswirkungsanalyse, die Genehmigungsentscheidung mit Datum und genehmigender Person, die versandte Kommunikation, Testergebnisse und Abnahmenachweise, Umsetzungsdetails einschließlich Deployment-Plan, Rollback-Verfahren und aller aufgetretenen Abweichungen sowie das Ergebnis der Nachverifizierung. Änderungsaufzeichnungen werden in einem manipulationsnachweisfähigen System gespeichert und gemäß dem Aufbewahrungsplan der Organisation aufbewahrt. Änderungen werden über alle Phasen, Anwendungen und Systeme hinweg dokumentiert.

5.8 Dokumentationsaktualisierungen

Betriebsdokumentation & Nutzerverfahren: Wenn eine Änderung den Betrieb eines Systems oder Dienstes betrifft, werden die relevante Betriebsdokumentation und Nutzerverfahren vor oder unmittelbar nach dem Deployment der Änderung aktualisiert (siehe auch Richtlinie zur IT-Betriebssicherheit). Veraltete Dokumentation wird ersetzt und archiviert statt gelöscht, um die Änderungshistorie zu bewahren.
IKT-Kontinuitätspläne & Wiederherstellungsverfahren: Wenn eine Änderung Systeme oder Dienste betrifft, die von IKT-Kontinuitätsplänen oder Vorfallreaktions- und Wiederherstellungsverfahren abgedeckt sind, werden diese Pläne vor Abschluss der Änderung überprüft und aktualisiert, um die geänderte Umgebung widerzuspiegeln. Die Änderungsaufzeichnung erfasst, ob Kontinuitätspläne überprüft wurden und welche Aktualisierungen vorgenommen wurden.

6. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie, stellt Ressourcen für Konfigurationsmanagement-Werkzeuge und Änderungsmanagementprozesse bereit und entscheidet über Prioritätseskalationen für Änderungen, die Kerngeschäftsprozesse betreffen.
Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie, überprüft und genehmigt gehärtete Standardkonfigurationstemplates auf Sicherheitsangemessenheit, wird bei allen Änderungen mit erheblichen Sicherheitsauswirkungen konsultiert und in die Genehmigungsentscheidung bei Großänderungen einbezogen.
IT-Betrieb: Entwickelt, pflegt und rollt gehärtete Standardkonfigurationstemplates aus; betreibt die CMDB; führt Soll-Ist-Vergleiche und Behebungen durch; setzt genehmigte Änderungen gemäß Deployment-Plänen um; dokumentiert alle administrativen Tätigkeiten; erstellt Konfigurationssicherungen vor Änderungen mit hoher Auswirkung. Verantwortlichkeiten für Patch- und Änderungsmanagement sind für alle Organisationseinheiten definiert.
Asset-/Systemeigentümer: Definieren Schutzbedarf und Betriebsanforderungen ihrer Assets, genehmigen Konfigurationstemplates für ihre Systeme, genehmigen Änderungen innerhalb ihrer delegierten Befugnis und stellen sicher, dass Betriebsdokumentation und Kontinuitätspläne für ihre Systeme nach Änderungen aktuell gehalten werden.
Change Advisory Board (oder gleichwertige Funktion): Überprüft und koordiniert wesentliche Änderungsanträge, berücksichtigt Informationssicherheitsauswirkungen auf alle Zielgruppen und gibt Empfehlungen zur Genehmigung und Terminierung. Moderiert den Eskalationspfad an die Geschäftsleitung für Prioritätsentscheidungen.
Alle Beschäftigten: Halten autorisierte Konfigurationseinstellungen ein und melden beobachtete unbefugte Änderungen oder Abweichungen vom erwarteten Systemverhalten an den IT-Betrieb oder die/den Informationssicherheitsbeauftragte/n.

7. Überprüfung & Pflege

Diese Richtlinie und die zugehörigen Konfigurationsmanagementverfahren werden überprüft:

Mindestens jährlich, um die Ausrichtung an der aktuellen IT-Infrastruktur, der Bedrohungslandschaft und regulatorischen Anforderungen zu verifizieren.
Wenn wesentliche Änderungen an der IT-Architektur, den Geschäftsprozessen oder dem Risikoprofil der Organisation eintreten.
Nach einem Sicherheitsvorfall, der auf eine Konfigurationsschwäche oder eine nicht genehmigte Änderung zurückzuführen ist.
Wenn neue IT-Komponentenkategorien eingeführt werden, die neue gehärtete Standardkonfigurationstemplates erfordern.
Wenn aktualisierte Hersteller-Sicherheitsleitfäden, BSI-IT-Grundschutz-Anforderungen oder relevante externe Standards (z. B. CIS Benchmarks) veröffentlicht werden, die den Inhalt ausgerollter Templates betreffen.

Die Aktualität der Konfigurationstemplates wird fortlaufend gepflegt: Jedes Template wird überprüft, wenn eine neue Software- oder Hardwareversion sicherheitsrelevante Änderungen einführt, und mindestens jährlich als Teil des Gesamtüberprüfungszyklus der Richtlinie. Die CMDB und die darin enthaltenen Änderungsaufzeichnungen werden durchgehend als lebendige Dokumentation gepflegt.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Technological Controls:

A 8.9 — Configuration Management
A 8.32 — Change Management

BSI IT-Grundschutz:

OPS.1.1.1.A5 (Definition of Hardened Standard Configurations)
OPS.1.1.1.A7 (Ensuring Proper IT Operations)
OPS.1.1.1.A8 (Regular Target/Actual Comparison)
OPS.1.1.2.A11 (Documentation of IT Administration Activities)
OPS.1.1.2.A26 (Configuration Backup)
APP.6.A4 (Rules for the Installation and Configuration of Software)
OPS.1.1.3.A1 (Concept for Patch and Change Management)
OPS.1.1.3.A2 (Definition of Responsibilities)
OPS.1.1.3.A5 (Handling of Change Requests)
OPS.1.1.3.A6 (Coordination of Change Requests)
OPS.1.1.3.A7 (Integration of Change Management into Business Processes)
OPS.1.1.3.A10 (Ensuring the Integrity and Authenticity of Software Packages)
OPS.1.1.3.A11 (Continuous Documentation of Information Processing)

Additional jurisdiction-specific laws and regulations are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes rules for managing the security configurations of hardware, software, services and networks, and for controlling changes to information processing facilities and information systems at [YOUR_ORGANISATION_NAME]. It ensures that IT components operate with required security settings throughout their lifecycle and that changes are implemented in a controlled, documented manner that preserves information security.

The policy applies to all IT systems, applications, services, networks and infrastructure components operated by or on behalf of the organisation, including cloud-hosted environments. It covers all personnel and third parties who configure, administer, change or maintain these components.

Configuration management and change management are complementary disciplines: configuration management defines and enforces the secure baseline state of IT components, while change management ensures that any deviation from or update to that baseline is planned, authorised, tested and documented. Together they address a fundamental cause of security failures — uncontrolled configurations and unmanaged changes.

3. Secure Configuration Management (A 8.9)

Configurations — including security configurations — for hardware, software, services and networks are established, documented, implemented, monitored and reviewed. IT components are categorised and a hardened standard configuration is defined for each category. These templates implement the security requirements of the organisation and incorporate vendor recommendations and publicly available security guidance. Software is installed with minimum required functionality and minimum necessary permissions, with data-minimising privacy settings applied by default. All configuration data is protected against unauthorised access and its integrity is preserved.

3.1 Hardened Standard Templates

Publicly Available Guidance: Hardened standard templates are developed using publicly available guidance, including vendor security baselines, recommendations from recognised security organisations (e.g. BSI IT-Grundschutz, CIS Benchmarks, DISA STIGs) and industry best practices. The source references for each template are documented alongside it.
Protection Level Determination: The required level of security for each configuration template is determined by the protection needs of the IT component category — specifically the confidentiality, integrity and availability requirements of the data processed and services provided. Higher protection needs result in stricter configuration baselines.
Policy Alignment: Every configuration template is aligned with the organisation's information security policy, topic-specific policies, applicable standards and other security requirements. Templates are reviewed for consistency with the access control policy, data classification scheme and applicable compliance obligations before deployment.
Feasibility & Applicability: Before a configuration template is finalised, its feasibility and applicability within the organisation's specific operational context are assessed. Where a security requirement from a reference baseline cannot be applied without breaking functionality or creating disproportionate operational impact, a compensating control is documented and approved.

Each configuration template is version-controlled, uniquely identifiable and stored in a secure, access-controlled location. Templates are tested in an isolated environment before being deployed to production systems. Security updates for software are applied before components enter production use.

3.2 Identity & Access Hardening

Minimisation of Privileged Identities: The number of identities with privileged or administrator-level access rights on any IT component is minimised. Shared or generic administrator accounts are avoided; where technically unavoidable, their use is strictly controlled and every action is attributable to an individual person. Role separation between administrative and normal operational functions is enforced through distinct account identities.
Disabling Unnecessary Identities: Unnecessary, unused or insecure built-in accounts and identities (e.g. default guest accounts, anonymous access accounts, vendor service accounts no longer required) are disabled or removed as part of the initial hardening process and on an ongoing basis. When personnel leave the organisation or change roles, their associated identities are reviewed and disabled promptly.

3.3 Service & Function Minimisation

Disabling Unnecessary Functions & Services: Only services, protocols, functions and features that are required for the operational purpose of an IT component are enabled. Unnecessary functions — including unused network services, demonstration or sample applications, unused scripting engines and surplus operating system components — are disabled or uninstalled. Software is installed with the minimum required functional scope.
Restricting Access to Utility Programs & Host Parameters: Access to powerful utility programs (e.g. shell interpreters, registry editors, diagnostic tools, bootloader configuration interfaces) and host parameter settings is restricted to authorised administrators. Where possible, access is controlled via role-based permissions and logging is enabled for all use of such utilities.

3.4 System Baseline Settings

Clock Synchronisation: Clocks on all IT components are synchronised to an authoritative time source using NTP or an equivalent protocol. Accurate and consistent timestamps across systems are required for log correlation, incident investigation, certificate validation and audit evidence.
Vendor Default Authentication Information: Vendor-supplied default passwords, authentication tokens, certificates and other default authentication information are changed immediately after initial installation, before any system is connected to the production network. Other important default security-related parameters (e.g. default community strings, default API keys, default encryption settings) are reviewed and updated as part of the initial configuration process.
Automatic Session Time-Out: Time-out facilities are configured on all interactive computing devices and sessions to automatically log off or lock the device after a defined period of inactivity. The inactivity threshold is set in accordance with the sensitivity of the system and data accessible through the session.

3.5 Licence Verification

Licence Compliance: Configuration templates and deployment processes include a verification step confirming that licence requirements for all software components are met before installation. The software licence register (see the IPR Compliance Policy) is consulted to confirm that the number of installations does not exceed licensed entitlements and that licence terms are respected in the deployment configuration.

3.6 Template Review & Updates

Periodic Template Review & Update: All hardened standard configuration templates are reviewed periodically and updated when new threats or vulnerabilities affecting the relevant component category are identified, when new software or hardware versions introduce security-relevant changes, or when vendor security guidance is updated. After each review, updated templates are version-incremented, tested and re-deployed to affected systems.

4. Configuration Records & Monitoring (A 8.9)

Configuration records for all IT components are maintained in a configuration management database (CMDB) or equivalent inventory system. The CMDB is the authoritative source for configuration state and supports both operational management and security monitoring. Access to configuration records is restricted to authorised IT operations personnel.

4.1 Configuration Records

Owner & Contact Information: Each configuration record includes the current owner or designated point of contact for the asset — the person accountable for the IT component's security configuration and responsible for approving configuration changes.
Last Configuration Change Date: The date and nature of the most recent configuration change are recorded for each asset, enabling IT operations to identify components that have not been updated within expected maintenance cycles and to correlate configuration changes with incident timelines.
Configuration Template Version: The version of the hardened standard configuration template currently applied to each asset is recorded. This enables rapid identification of components that are not running the current approved template and facilitates targeted remediation after a template update.
Dependency Relations: Configuration records capture relationships and dependencies between assets — for example, which servers depend on a shared database configuration, which applications rely on a specific middleware version and which network devices enforce access control for a given server segment. These dependency mappings are used in impact assessments for configuration changes.

4.2 Configuration Monitoring Scope

Maintenance Utilities: Maintenance tools with access to system configurations (e.g. software deployment agents, patch management clients, firmware update utilities) are included in the configuration monitoring scope. Their own configuration is subject to the same hardening and review requirements as the systems they manage.
Remote Support Tools: Remote support and remote administration tools (e.g. VPN gateways, jump servers, remote desktop services, out-of-band management interfaces) are included in configuration monitoring. Access via these tools is logged and the configurations of the remote support infrastructure are maintained in accordance with the same hardened templates as other production components.
Enterprise Management Tools: Enterprise IT management platforms (e.g. configuration management databases, IT service management systems, monitoring platforms, identity management systems) are included in configuration monitoring. Because of their privileged access to the managed infrastructure, these systems are subject to heightened hardening requirements and regular configuration reviews.
Backup & Restore Software: Backup and restore software configurations are included in the monitoring scope. Configuration backups are performed at both the application level and the system level on a regular schedule. An additional configuration backup is taken before any IT administration activity with potentially wide-reaching impact. The restorability of configuration backups is verified periodically to confirm that a clean configuration state can be recovered when required.

4.3 Target-Actual Comparison

A regular target-actual comparison is performed for all IT components in scope — comparing the current configuration of each component against its defined hardened standard template. This comparison is performed using automated configuration compliance scanning tools wherever technically feasible, producing structured reports of deviations. Where automation is not possible, manual configuration audits are conducted on a defined schedule. Identified deviations are assessed for security impact, classified and remediated within timeframes proportionate to their risk. All deviations and their remediation status are tracked in the CMDB. Automation of configuration enforcement (infrastructure-as-code, desired-state configuration management) is used wherever operational conditions permit, to reduce the window between detection and remediation of configuration drift.

5. Change Management (A 8.32)

All changes to information processing facilities and information systems — including hardware replacements, software installations and updates, configuration modifications, network changes and changes to ICT services — are subject to a formal change management process. This process encompasses documentation, specification, testing, quality control and managed implementation. Inadequate change control is a recognised common cause of system and security failures; this policy ensures that every change is planned, approved, tested and recorded before production deployment. The change management process integrates ICT infrastructure and software changes and applies to production environments including operating systems, databases, middleware and application software. Software packages are sourced only from trustworthy suppliers and their integrity is verified via checksums or digital signatures before installation. Changes are tested in a segregated test environment before production deployment.

5.1 Change Planning & Impact Assessment

Planning & Impact Assessment: Every change request includes a documented impact assessment covering security implications, operational dependencies and potential effects on other systems and services. The dependency relations recorded in configuration records (Section 4.1) inform this assessment. All affected systems, services and stakeholder groups are identified before authorisation is sought. Where a change may affect information security controls or ICT continuity arrangements, the Information Security Officer is consulted as part of the assessment.

5.2 Authorisation

Authorisation of Changes: Every change requires explicit authorisation before implementation. Authorisation levels are defined by change category and potential impact: routine low-risk changes are authorised by the responsible IT operations team lead, significant changes with broader impact require approval from the Information Security Officer and the relevant asset owner, and major changes affecting core infrastructure or cross-organisational business processes require management-level approval. Unauthorised changes are treated as security incidents. For major changes, the Information Security Officer is involved in the authorisation decision.

5.3 Communication

Communication to Interested Parties: Authorised changes are communicated to all relevant interested parties before implementation. This includes affected business units, IT operations teams, system owners and, where the change affects externally visible services, relevant external stakeholders. For changes with broad impact, a change calendar or scheduled maintenance window is published in advance. The coordination process considers information security effects on all target groups and includes a defined escalation path for priority decisions.

5.4 Testing & Acceptance

Testing & Acceptance: All changes are tested before production deployment in a segregated test environment that replicates the production configuration as closely as practicable. Acceptance criteria are defined as part of the change plan and are demonstrably satisfied before the change proceeds to production. Acceptance is formally recorded with the name of the responsible person, date and result. Checksums or digital signatures of software packages are verified before installation.

5.5 Implementation & Deployment

Implementation & Deployment Plans: Changes are implemented according to a documented deployment plan that specifies the sequence of steps, the responsible persons, the implementation window, the configuration items affected and the post-implementation verification steps. Implementation is performed using the authorised configuration management tooling. Configuration records in the CMDB are updated to reflect the new state immediately upon successful deployment. All administrative activities performed during implementation are documented, recording what changed, when, who made the change and the basis or reason for the change.

5.6 Emergency & Rollback Procedures

Emergency & Rollback Procedures: Every change plan includes documented fallback and rollback procedures that describe how to restore the previous configuration state if the change fails, causes unexpected issues or needs to be reversed. A configuration backup is taken before any change with potentially wide-reaching consequences. Rollback procedures are tested during the test phase where feasible. For emergency changes — required to respond to critical security incidents or imminent system failures — an expedited authorisation procedure is defined that maintains accountability while enabling rapid response. Emergency changes are subject to the same documentation and post-implementation review requirements as standard changes.

5.7 Change Records

Change Records: A complete record is maintained for every change, covering: the change request and its impact assessment, the authorisation decision with date and authorising person, the communication sent, test results and acceptance evidence, implementation details including the deployment plan, rollback procedure, and any deviations encountered, and the post-implementation verification outcome. Change records are stored in a tamper-evident system and retained according to the organisation's records retention schedule. Changes are documented across all phases, applications and systems.

5.8 Documentation Updates

Operating Documentation & User Procedures: When a change affects the operation of a system or service, the relevant operating documentation and user procedures are updated as necessary before or immediately after the change is deployed (see also the IT Operations Security Policy). Outdated documentation is superseded and archived rather than deleted, to preserve the change history.
ICT Continuity Plans & Recovery Procedures: When a change affects systems or services covered by ICT continuity plans or incident response and recovery procedures, those plans are reviewed and updated to reflect the changed environment before the change is closed. The change record captures whether continuity plans were reviewed and any updates made.

6. Roles & Responsibilities

Top Management: Approves this policy, provides resources for configuration management tooling and change management processes and decides on priority escalations for changes affecting core business processes.
Information Security Officer (ISO): Maintains this policy, reviews and approves hardened standard configuration templates for security adequacy, is consulted on all changes with significant security impact and is involved in major change authorisation decisions.
IT Operations: Develops, maintains and deploys hardened standard configuration templates; operates the CMDB; performs target-actual comparisons and remediation; implements approved changes in accordance with deployment plans; documents all administrative activities; performs configuration backups before high-impact changes. Responsibilities for patch and change management are defined for all organisational units.
Asset Owners / System Owners: Define the protection needs and operational requirements for their assets, approve configuration templates for their systems, authorise changes to their assets within their delegated authority level and ensure that operating documentation and continuity plans for their systems are kept up to date following changes.
Change Advisory Board (or equivalent function): Reviews and coordinates significant change requests, considers information security effects on all target groups and provides recommendations on authorisation and scheduling. Facilitates the escalation path to management for priority decisions.
All Personnel: Follow authorised configuration settings and report any observed unauthorised changes or deviations from expected system behaviour to IT Operations or the Information Security Officer.

7. Review & Maintenance

This policy and the associated configuration management procedures are reviewed:

At least annually, to verify alignment with current IT infrastructure, threat landscape and regulatory requirements.
When significant changes to the organisation's IT architecture, business processes or risk profile occur.
Following a security incident attributable to a configuration weakness or an unauthorised change.
When new IT component categories are introduced that require new hardened standard configuration templates.
When updated vendor security guidance, BSI IT-Grundschutz requirements or relevant external standards (e.g. CIS Benchmarks) are published that affect the content of deployed templates.

Configuration template currency is maintained on an ongoing basis: each template is reviewed whenever a new software or hardware version introduces security-relevant changes, and at a minimum annually as part of the overall policy review cycle. The CMDB and the change records it contains are maintained as living documentation throughout the year.

Quellen

ISO/IEC 27002:2022 Abschnitte 8.9 und 8.32 — die Controls hinter Konfigurations- und Änderungsmanagement
BSI IT-Grundschutz OPS.1.1.3 — Patch- und Änderungsmanagement
CIS Benchmarks — frei verfügbare Härtungsvorlagen für Betriebssysteme, Datenbanken und Cloud-Dienste
DISA STIGs — Security Technical Implementation Guides des US-Verteidigungsministeriums