37-3 · Kapitel 37 · 5 Min. Lesezeit

Risikobasierte Genehmigung: Wann braucht eine Änderung wirklich Zustimmung?

Stellen Sie sich zwei Änderungen am selben Tag vor. Eine passt die Farbe eines Buttons an. Die andere ändert das Datenbankschema hinter dem Checkout. Beide Änderungen gleich zu behandeln, bremst das Team aus.

Risikobasierte Genehmigung: Wann braucht eine Änderung wirklich Zustimmung?

Stellen Sie sich zwei Änderungen vor, die am selben Tag eintreffen. Eine passt die Farbe eines Buttons in einem internen Dashboard an. Die andere ändert das Datenbankschema hinter dem Checkout. Wenn beide Änderungen denselben Genehmigungsprozess durchlaufen müssen – ein CAB-Meeting, eine Unterschrift des Managers oder eine lange Warteschlange – verliert das Team schnell die Geduld. Kleine Änderungen werden verzögert, während riskante Änderungen nicht unbedingt mehr Aufmerksamkeit erhalten.

Das passiert in vielen Engineering-Organisationen. Ein einheitlicher Genehmigungsprozess für jede Änderung wird oft eher zur Bürokratie als zum Schutz. Leute warten, Kontext wird altbacken, und der gefährlichste Nebeneffekt tritt leise auf: Teams hören auf, klar über das Risiko jeder einzelnen Änderung nachzudenken.

Das Problem mit der Genehmigung jeder Änderung

Wenn jede Änderung dieselbe Genehmigung benötigt, können Teams die Verantwortung verlieren. Ein Entwickler könnte denken: „Jemand anderes wird das später prüfen.“ Aber die Person, die der Änderung am nächsten ist, versteht sie normalerweise am besten. Wenn die Genehmigung der einzige Qualitätskontrollmechanismus wird, wird das Team weniger sorgfältig, nicht sorgfältiger.

Zu viel Genehmigung erzeugt eine Illusion von Sicherheit. Prüfer werden gezwungen, zu viele Änderungen in zu kurzer Zeit zu inspizieren. Hochriskante Änderungen erhalten möglicherweise eine oberflächliche Überprüfung, während risikoarme Änderungen in derselben Warteschlange warten. Der Prozess sieht kontrolliert aus, aber das tatsächliche Risiko wird nicht gut gemanagt.

Das Prinzip der risikobasierten Genehmigung

Risikobasierte Genehmigung beginnt mit einem einfachen Prinzip: Je höher das Risiko, desto stärker sollte der Genehmigungspfad sein. Änderungen mit geringem Risiko können schnell durchlaufen. Änderungen mit hohem Risiko sollten von Personen überprüft werden, die die möglichen Auswirkungen verstehen.

Viele Teams machen das bereits informell. Das Problem ist, dass ohne ein klares Framework die Grenze zwischen „braucht Genehmigung“ und „braucht keine Genehmigung“ vage wird. Entscheidungen hängen davon ab, wer die Änderung angefordert hat, wer Dienst hat oder wie nervös die Organisation in dieser Woche ist. Ein besseres Modell koppelt den Genehmigungspfad an das tatsächliche Risiko der Änderung.

Genehmigungsschwellen definieren

Eine Genehmigungsschwelle ist die Linie, die entscheidet, ob eine Änderung automatisch ablaufen kann oder auf eine menschliche Genehmigung warten muss. Diese Linie sollte explizit, konsistent und an beobachtbare Merkmale der Änderung gekoppelt sein.

Nützliche Kriterien sind:

Das folgende Flussdiagramm zeigt, wie eine Änderung anhand dieser Kriterien bewertet und dem entsprechenden Genehmigungspfad zugeführt werden kann.

Das folgende GitLab CI-Snippet zeigt, wie eine Pipeline automatisch das Risiko erkennen und bedingt eine manuelle Genehmigung anfordern kann:

stages:
  - test
  - deploy
  - approval
  - production

risk-check:
  stage: test
  script:
    - if git diff --name-only $CI_MERGE_REQUEST_DIFF_BASE_SHA...$CI_SHA | grep -E "^(migrations/|payment/)"; then
    -   echo "HIGH_RISK=true" >> risk.env
    - else
    -   echo "HIGH_RISK=false" >> risk.env
    - fi
  artifacts:
    reports:
      dotenv: risk.env

approval-job:
  stage: approval
  needs: [risk-check]
  rules:
    - if: $HIGH_RISK == "true"
      when: manual
      allow_failure: false
  script:
    - echo "Change requires manual approval before production deployment"

deploy-production:
  stage: production
  needs: [approval-job]
  script:
    - echo "Deploying to production"

flowchart TD A[Änderung eingereicht] --> B{Risikobewertung} B -->|Geringes Risiko| C[Standard-Änderung] C --> D[Keine formelle Genehmigung] D --> E[Bereitstellen] B -->|Mittleres Risiko| F[Normale Änderung] F --> G[Peer-Review] G --> H{Genehmigt?} H -->|Ja| E H -->|Nein| I[Überarbeiten & erneut einreichen] I --> A B -->|Hohes Risiko| J[Notfall-Änderung] J --> K[Schnellgenehmigungspfad] K --> L{Genehmigt?} L -->|Ja| E L -->|Nein| I

Berührt die Änderung Benutzerdaten?
Modifiziert sie ein Datenbankschema oder einen Migrationspfad?
Könnte sie die Dienstverfügbarkeit beeinträchtigen?
Betrifft sie Zahlungs-, Authentifizierungs-, Sicherheits- oder andere kritische Abläufe?
Ändert sie Infrastruktur, von der viele Systeme abhängen?
Betrifft sie eine Komponente mit einer Vorgeschichte von fragwürdigem Verhalten?

Die besten Schwellen können automatisch erkannt werden. Eine Pipeline kann sehen, dass ein Pull-Request Datenbank-Migrationsdateien, Terraform-Änderungen, mobile Signierungskonfiguration oder Änderungen an Produktions-Secrets-Richtlinien enthält. Sie kann dann den Deployment-Pfad ohne Rätselraten durch den richtigen Genehmigungspfad leiten.

Drei praktische Änderungskategorien

Viele Teams können mit drei Kategorien beginnen.

Standard-Änderungen haben ein geringes Risiko und sind wiederholbar. Beispiele sind Inhaltsaktualisierungen, gut getestete Konfigurationsänderungen oder Deployments, die einem bekannten sicheren Muster folgen. Diese Änderungen sollten ohne formelle Genehmigung durchlaufen. Das Team bleibt für die Qualität verantwortlich.

Normale Änderungen tragen ein moderates Risiko. Sie benötigen möglicherweise eine Überprüfung durch ein oder zwei Personen, die den betroffenen Bereich verstehen. Dies kann in der Regel asynchron erfolgen. Ein formelles Meeting ist selten notwendig.

Notfall-Änderungen werden durchgeführt, um einen Vorfall zu beheben oder einen unmittelbaren Schaden zu verhindern. Sie benötigen einen schnellen Pfad mit minimalem Reibungsverlust, gefolgt von einer Dokumentation im Nachhinein. Ziel ist es nicht, die Wiederherstellung zu verlangsamen. Ziel ist es, sicherzustellen, dass die Organisation weiß, was geändert wurde, warum es geändert wurde und was nach dem Vorfall verbessert werden sollte.

Was das im Teamverhalten ändert

Wenn die Genehmigung für bedeutende Risiken reserviert ist, werden Teams aufmerksamer. Sie wissen, dass kleine Änderungen ihre Verantwortung sind. Sie wissen auch, dass große Änderungen zusätzliche Aufmerksamkeit von Personen erhalten, die helfen können, blinde Flecken zu erkennen.

Dies unterstützt eine Kultur der Verantwortung anstelle einer Kultur der Übergabe. Entwickler können sich nicht hinter der Genehmigung verstecken. Prüfer werden nicht mit trivialen Anfragen überhäuft. Die Organisation verwendet ihre Aufmerksamkeit dort, wo Aufmerksamkeit tatsächlich wichtig ist.

Eine praktische Checkliste

Identifizieren Sie kritische Komponenten wie Datenbanken, Zahlungsabläufe, Authentifizierung, Infrastrukturzustand und gemeinsam genutzte Dienste.
Definieren Sie objektive Schwellen für jede Risikokategorie.
Dokumentieren Sie, welcher Genehmigungspfad für Standard-, normale und Notfall-Änderungen gilt.
Lassen Sie die Pipeline nach Möglichkeit Risikoindikatoren erkennen.
Zeichnen Sie Genehmigungen und Nachweise als Teil des Deployment-Datensatzes auf.
Überprüfen Sie die Schwellen regelmäßig, da sich das Risiko mit der Entwicklung des Systems und des Teams ändert.

Governance, die die Auslieferung unterstützt

Mit risikobasierter Genehmigung wird Governance zu einem Auslieferungshelfer statt zu einem Auslieferungsblockierer. Sie gibt Änderungen mit geringem Risiko einen schnellen Pfad und Änderungen mit hohem Risiko die Aufmerksamkeit, die sie verdienen.

Es geht nicht darum, alles zu genehmigen. Es geht darum, die richtigen Dinge zu genehmigen. Ein gesundes CI/CD-System sollte zwischen Routinebewegung und echter Gefahr unterscheiden. Wenn diese Unterscheidung klar ist, können Teams schneller vorankommen, ohne so zu tun, als ob jede Änderung gleich sicher wäre.

Konkreter Handlungsimpuls: Beginnen Sie damit, zu identifizieren, welche Änderungen in Ihrer Umgebung wirklich risikoreich sind. Geben Sie Routineänderungen einen schnellen Pfad. Geben Sie riskanten Änderungen eine stärkere Überprüfung. Effektive Genehmigung bedeutet nicht, jede Bewegung zu kontrollieren. Es geht darum, sicherzustellen, dass die Änderungen, die echten Schaden anrichten können, die richtige Aufmerksamkeit erhalten, bevor sie die Produktion erreichen.