Neuigkeiten rund um verinice.

Die verinice.XP findet 2021 erstmals in digitaler Form statt. Am 24. und 25. Februar halten die Referentinnen und Referenten ihre Vorträge live via Zoom. Teilnehmerinnen und Teilnehmer können die Konferenz flexibel von jedem beliebigen Standort verfolgen. Eine erste Liste mit bereits bestätigten Vortragsthemen hat das Orga-Team nun veröffentlicht. Tickets können für 99 Euro über die Konferenzseite gebucht werden.

Die Vorträge

Über "Die häufigsten Fehler bei der Einführung eines ISMS mit einem Tool" (und wie diese vermieden werden können) wird Florian Ferenczy (AuraSec) berichten. Wie sich "Aus verinice das Management begeistern" lässt, will Thomas Lundström (SoftEd Systems) verraten. Er wird aufzeigen, wie mit möglichst wenig Aufwand die benötigten Informationen aus verinice exportiert und mit einem Graphen Tool gezeichnet werden können. Ebenfalls in Richtung Management zielt der Vortrag von Hagen Bauer (rusticus consulting): "Was kosten Databreaches? Finanzielle Argumente für die Erbsenzähler" wird er an die Hand geben, um die Geschäftsführung von Investitionen in Informationssicherheit zu überzeugen.

Mit den Möglichkeiten, die die offene Struktur von verinice bietet, will sich Dirk Brand (SILA Consulting) in "verinice beyond ISMS - Mit verinice integrierte Management Systeme managen" beschäftigen. Kai Wittenburg wird mit dem Vortrag "Microsoft 365 Sicherheitskonzept in verinice" aufzeigen, wie Anwendungen wie Teams, SharePoint, Planner und weitere Applikationen sicher genutzt werden können. "Wenn es wirklich zählt – Besseres Schwachstellen-Management in fünf Minuten" ist der Vortrag von Alexander Koderman (SerNet, verinice-Team) betitelt. Er wird Tipps geben, wie man Software-Schwachstellen schnell entdecken kann. Rico Barth (c.a.p.e. IT) wird erneut auf die Zusammenarbeit von verinice und KIX schauen. Sein Vortrag wird sich der "Unterstützung der ISO 27001-Zertifizierung durch den Einsatz des IT-Service Management Systems KIX" widmen.

Einen Ausflug in die Entwicklung von verinice plant Daniel Murygin (SerNet, verinice-Entwicklungsleiter). Gemeinsam mit Michael Flürenbrock (SerNet, verinice Project Owner) wird er verinice.veo vorstellen. Flürenbrock wird außerdem einen Ausblick auf die Roadmap zu verinice & verinice.veo geben.

Für den 23. Februar 2021 können außerdem exklusive Workshops (ebenfalls Remote Sessions via Zoom) gebucht werden. Die Teilnahme ist unabhängig von der verinice.XP möglich. Zur Auswahl stehen die Themen "Umsetzung des modernisierten Grundschutzes in verinice" und "Modernisierter Grundschutz – Die ultimative Perspektive!". Die Teilnahme kostet 199 Euro.

Über die verinice.XP

Die verinice.XP ist die Konferenz für AnwenderInnen des OpenSource ISMS-Werkzeugs verinice.

Die verinice.XP bringt seit Jahren IT-EntscheiderInnen, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden zusammen. Sie alle verbindet die Nutzung von verinice  für das Management der Informationssicherheit oder das Datenschutz-Management.

Zum 3. IT-Grundschutz-Tag 2020 hat auch Alexander Koderman aus dem verinice.TEAM der SerNet GmbH einen Vortrag beigesteuert. In "IT-Grundschutz-Baustein DER.1 Detektion von sicherheitsrelevanten Ereignissen" berichtet er von seinen Erfahrungen bei der SIEM-Einführung. Eine Aufzeichnung ist nun online und kann direkt bei YouTube angeschaut werden.

Aus dem Abstract: "Der Baustein "Detektion von sichereitsrelevanten Ereignissen" fordert die Auswertung von Protokolldaten und die Erkennung sicherheitsrelevanter Vorgänge. Beim Versuch der Umsetzung gelangt man schnell zu der Einsicht, dass das ohne spezielle Systeme und Prozesse nicht geht. Man merkt aber ebenfalls recht schnell, dass sicherheitsrelevante Ereignisse oft genau die Dinge sind, die man gerade nicht in den protokollierten Ereignissen sieht. Kann man Systeme, Prozesse und Akteure überwachen, von deren Existenz man nicht einmal weiß? Ja, das geht. Man muss aber bereit sein, dafür ein paar Dinge zu opfern."

Veranstalter des IT-Grundschutz-Tages war die netgo group GmbH in Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Veranstaltung wurde am 3. Dezember 2020 live aus dem netgo cinema in Borken gestreamt. Das Video der gesamten Veranstaltung ist online.

Das verinice.TEAM der SerNet GmbH hat eine neue Version des OpenSource ISMS-Werkzeugs verinice veröffentlicht. Ab sofort stehen verinice und verinice.PRO in Version 1.21 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung.

verinice 1.21 beinhaltet mehr als 50 neue Funktionen, Detailänderungen und Fehlerbehebungen. Die wichtigsten Neuerungen werden in den Release Notes im Detail dargestellt. Außerdem hat das Team Videos in einer YouTube-Playlist zusammengestellt: Vorstellung verinice 1.21 (Link füht direkt zu YouTube).

Mit dem Release erhalten Anwenderinnen und Anwender Unterstützung für essentielle Aufgaben, z.B.:

• Im modernisierten IT-Grundschutz können mit dem Konsolidator Inhalte von Bausteinen, Anforderungen, Gefährdungen und Maßnahme auf gleiche Elemente übertragen werden.
• Das Zielobjekt Incident in der ISO/ISM-Perspektive bzw. Vorfall in der Perspektive des modernisierten IT-Grundschutz wurde aktualisiert für Sicherheitsvorfälle hinsichtlich Informationssicherheit und Datenschutz.
• verinice unterstützt nun den VDA ISA Katalog in der Version 5.0.2.
• Das Zielobjekt Dokument wurde erweitert.
• Der Dialog für die Reporterzeugung wurde optimiert und bietet damit eine kontextbezogene Auswahl der Berichte an.
• Berichte können über mehrere Verbünde erzeugt werden, wenn ein Bericht diese Funktion unterstützt.
• Im Link-Maker werden neben dem Geltungsbereich zur bessere Zuordnung jetzt auch die übergeordneten Objekte angezeigt.
• Mit dem IT-Grundschutz-Profiler ist es möglich ein Grundschutz-Profil, sprich die Dokumentation, anzulegen.

Fragen zur neuen Version beantwortet das verinice.TEAM gerne im verinice-Forum. Dort haben Sie die Möglichkeit zur Diskussion und auch, Feature-Requests für künftige Versionen zu formulieren.

Am 3. Dezember findet der 3. IT-Grundschutz-Tag 2020 statt. Alexander Koderman aus dem verinice.TEAM der SerNet GmbH ist mit einem Vortrag vertreten. Veranstalter des IT-Grundschutz-Tages sind die netgo group GmbH in Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Event behandelt das Thema "IT-Grundschutz im Zusammenspiel mit anderen Managementsystemen" und wird in einem Online-Format statt finden.

Im Mittelpunkt stehen praxisorientierte Vorträge, die unterschiedliche Managementsysteme und deren Synergien zum IT-Grundschutz aufzeigen sollen. So ist auch der Vortrag von Alexander Koderman ausgerichtet, der einen Erfahrungsbericht aus der SIEM-Einführung beisteuert:  "IT-Grundschutz-Baustein DER.1 Detektion von sicherheitsrelevanten Ereignissen". Aus dem Abstract: "Der Baustein "Detektion von sichereitsrelevanten Ereignissen" fordert die Auswertung von Protokolldaten und die Erkennung sicherheitsrelevanter Vorgänge. Beim Versuch der Umsetzung gelangt man schnell zu der Einsicht, dass das ohne spezielle Systeme und Prozesse nicht geht. Man merkt aber ebenfalls recht schnell, dass sicherheitsrelevante Ereignisse oft genau die Dinge sind, die man gerade nicht in den protokollierten Ereignissen sieht. Kann man Systeme, Prozesse und Akteure überwachen, von deren Existenz man nicht einmal weiß? Ja, das geht. Man muss aber bereit sein, dafür ein paar Dinge zu opfern."

Die Veranstaltung wird live aus dem netgo cinema in Borken gestreamt. Die Teilnahme ist kostenlos. Die Registrierung ist noch offen und direkt über den Veranstalter möglich: https://www.netgo-group.com/it-grundschutztag/#registrierung

Die verinice.XP ist die Konferenz für Anwenderinnen und Anwender des OpenSource ISMS-Werkzeugs verinice. Am 24. und 25. Februar 2021 wird sie erstmals in neuem Format als Online-Event stattfinden. Tickets für die Konferenz wie auch für die vorausgehenden Workshops am 23. Februar sind unter verinicexp.org buchbar.

Das Organisationskomitee hat sich aufgrund der Corona-Lage für das neue Format entschieden. Nadine Dreymann, die bei Veranstalterin SerNet für die verinice.XP verantwortlich ist, sagt dazu: "Auf das Vor-Ort-Networking müssen wir dieses Mal bedauerlicherweise verzichten, sehen aber insgesamt viele Vorteile in einer digitalen Konferenz." Neben dem offensichtlichen Sicherheitsfaktor eröffne ein virtuelles Event flexiblere Teilnahmemöglichkeitene. Die Referentinnen und Referenten halten ihre Vorträge live via Zoom, so dass Teilnehmerinnen und Teilnehmer die Konferenz von jedem beliebigen Standort über das Internet verfolgen und sich auch einbringen können. Dreymann: "Selbstverständlich werden wir uns einiges einfallen lassen, um aus der verinice.XP das gewohnt hochwertige und auch beschwingende Erlebnis zu machen."

Für die Online-Auflage der verinice.XP 2021 sind bereits Early-Bird-Tickets zum Preis von 66 Euro verfügbar. Ab dem 12. Dezember 2020 ist das reguläre Ticket zum Preis von 99 Euro erhältlich.

Bis zum 11. Dezember 2020 läuft noch der Call for Papers. Für die Agenda werden noch fundierte Vorträge und Referenzprojekte angenommen: IT-Sicherheit, Datenschutz (EU-DSGVO) sowie KRITIS und Branchenstandards werden die Teilnehmenden zwei Tage lang beschäftigen. Auch wegweisende Neuerungen in verinice werden ihren Platz im Online-Programm haben.

Die am Vortag (23. Februar) der Konferenz angesetzten Workshops finden ebenfalls remote statt. Zur Auswahl stehen die Themen:

• Umsetzung des modernisierten Grundschutzes in verinice (Workshop mit Ulf Riechen, Riechen Consulting)
• Modernisierter Grundschutz – Die ultimative Perspektive (Workshop mit Dirk Brand, Sila Consulting)

Die Kosten für die Workshop-Teilnahme liegen bei 199 Euro. Weitere Details zu den Inhalten sind auf der Konferenzseite unter verinicexp.org aufgeführt.

Für das ISMS-Tool verinice steht ab sofort der branchenspezifische Standard B3S Krankenhaus bereit. Er unterstützt Krankenhäuser dabei, Anforderungen zum Schutz ihrer Informationsinfrastruktur umzusetzen. Nutzerinnen und Nutzer können den Standard in der IT-Grundschutz- oder in der ISM/ISO-Perspektive anwenden. Herausgeberin des Standards ist die Deutsche Krankenhausgesellschaft e.V.. Als Zusatzinhalt für verinice kann er über den verinice.SHOP erworben oder im verinice.PRO-Repository herunter geladen werden.

Krankenhäuser mit jährlich mehr als 30.000 vollstationären Fällen gelten als "Kritische Infrastrukturen". Sie unterliegen besonderen gesetzlichen Anforderungen zum Schutz ihrer Informationsinfrastruktur. Zur Unterstützung hat die Deutsche Krankenhausgesellschaft den Branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S Krankenhaus) erarbeitet. Das verinice.TEAM der SerNet hat diesen für verinice aufbereitet: Für die Perspektive des modernisierten Grundschutzes sind alle Anforderung in Form von Bausteinen sowie branchenspezifische Gefährdungen gelistet, die in verinice auf die IT-Verbünde modelliert werden können. Außerdem liegt ein Modell eines Beispiel-Krankenhauses vor, das Beispielstrukturen enthält und so den Einstieg erleichtert. Für die ISM/ISO-Perpsektive ist eine Beispiel-Organisation angelegt, die alle zentralen Inhalte des Sicherheitsstandards enthält (zu den genauen Inhalten siehe Shop unter https://shop.verinice.com/de/content/).

Michael Flürenbrock, verinice-Product-Owner: "Wir sind überzeugt, dass die Kombination aus verinice und dem branchenspezifischen Standard eine große Hilfe für Krankenhäuser bei der Absicherung ihrer Informationsinfrastruktur ist." Zusätzlich könne ein Datenschutzmodul zum Einsatz kommen und auch dieser sensible Bereich für Krankenhäuser mit verinice abgedeckt werden. SerNet-Geschäftsführerin Reinhild Jung verweist zudem darauf, dass verinice zu 100% Open Source und zu 100% "Made in Germany" sei. Die SerNet GmbH ist Herausgeberin von verinice und verfolgt eine  Open-Source-Strategie mit vollständig offen gelegtem Quellcode. Jung: "Gerade diese ist ein wichtiger Beitrag zum Sicherheits-Management für Kritische Infrastrukturen."

In die Umsetzung des B3S Krankenhaus für verinice haben sich Ulf Riechen und Dirk Brand (Sila Consulting) aktiv eingebracht. Beide sind langjährige verinice.PARTNER und -Experten. Das verinice.TEAM konnte auf Grundlage ihrer Arbeit den nun erhältlichen Zusatzinhalt erstellen und dankt ihnen ausdrücklich für ihren Einsatz! Die verinice-Partner sind ein wichtiger Teil des verinice-Ökosystems. Sie beraten mit ausgewiesener Expertise Kundinnen und Kunden, u.a. mit Spezialisierung auf das Gesundheitswesen und helfen, verinice kontinuierlich entlang von Kundenerfahrungen und -anforderungen weiterzuentwickeln.

Über verinice: verinice ist das einzige Werkzeug für das Management von Informationssicherheit unter OpenSource-Lizenz. Es ist in 4 Bundesländern flächendeckend und in über 40 Bundesbehörden im Einsatz, dazu in einer großen Zahl an Kommunen, Stadtwerken und anderen Einrichtungen der Öffentlichen Hand, insbesondere auch bei kritischen Infrastrukturen. Für den Industriebereich unterstützt verinice neben dem IT-Grundschutz des BSI auch die ISO 27001 und ist hier bei Unternehmen in ganz Europa im Einsatz sowie beim Rat der Europäischen Kommission und europäischen Nationalbanken. SerNet, als Herausgeberin von verinice, trägt zudem die Vertrauens-Siegel "IT-Security made in Germany" und "IT-Security made in EU".

Die verinice.XP ist die jährliche Konferenz für AnwenderInnen des OpenSource ISMS-Werkzeugs verinice. Für 2021 ist diese am 24. und 25. Februar 2021 in Berlin geplant. Der Call for Papers ist bereits gestartet – das Veranstaltungskomitee der SerNet GmbH, die die Konferenz ausrichtet, freut sich auf interessante Einreichungen.

Über die verinice.XP

Die verinice.XP bringt seit Jahren IT-EntscheiderInnen, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden zusammen. Sie alle verbindet die Nutzung von verinice  für das Management der Informationssicherheit oder das Datenschutz-Management. Ein Social Event für weitere Gespräche soll am Abend des 24. Februar 2021 im Konferenzhotel stattfinden. Alle TeilnehmerInnen der verinice.XP sind herzlich dazu eingeladen.

Entsprechend der aktuellen Lage behält sich die SerNet GmbH vor, die verinice.XP als Online-Konferenz oder hybrides Format durchzuführen.

Workshops und Tickets

Für den 23. Februar 2021 sind exklusive Workshops geplant. In kleinen Teilnehmergruppen sollen sie den intensiven Austausch mit FachkollegInnen und ReferentInnen ermöglichen. Die Workshop-Teilnahme ist unabhängig von der verinice.XP möglich.

Tickets für die Konferenz sowie die Workshops sind ab Ende September 2020 verfügbar.

Das Land Berlin hat seinen Rahmenvertrag mit der SerNet GmbH über die Nutzung des ISMS-Tools "verinice" verlängert. Für weitere vier Jahre nutzen damit die Einrichtungen der Landesverwaltung dieses weit verbreitete OpenSource-Werkzeug zur Verwaltung von Informationssicherheit. Vertragspartner auf Seiten des Landes Berlin ist das IT-Dienstleistungszentrum Berlin. Das ITDZ Berlin nutzt verinice auch für eigene Zwecke und erhielt 2018 als erstes Unternehmen das BSI-Zertifikat nach dem neuen IT-Grundschutz.  

Neben der Nutzung für das Management der Informationssicherheit wird verinice auch für das Datenschutz-Management eingesetzt. Dafür nutzen die Berliner ein speziell für den Modernisierten Grundschutz konzipiertes Datenschutzmodul der SerNet. Das Tool kann in allen Berliner Landes-Einrichtungen genutzt werden - den Einrichtungen aus dem unmittelbaren Bereich der Berliner Landesverwaltung mit Haupt- und 11 Bezirksverwaltungen inkl. der 9 Senatsverwaltungen und der ihnen nachgeordneten Behörden, Anstalten sowie Eigenbetriebe - so zum Beispiel auch in den Berliner Berufsschulen.

Karsten Pirschel ist IT-Sicherheitsbeauftragter des ITDZ Berlin und begrüßt die fortgesetzte Kooperation: "Die schnelle Anpassung an den modernisierten Grundschutz und die Einsatzmöglichkeit vom Schulbetrieb bis zur KRITIS-Umgebung können wir im Land Berlin über ein zentrales Werkzeug ermöglichen."

Michael Flürenbrock, verinice-Product-Owner freut sich über die Fortsetzung und Ausweitung der langjährigen Zusammenarbeit: "verinice entsteht am SerNet-Standort in Berlin - 100% made in Germany. Dass unser Produkt gerade hier flächendeckend eingesetzt werden soll, freut uns besonders." SerNet Geschäftsführerin Reinhild Jung ergänzt: "Es ist grossartig, dass auch das Land Berlin unserer Open-Source-Strategie folgt: Vollständig offen gelegter Quellcode ist ein wichtiger Beitrag zum Sicherheits-Management."

Über verinice: verinice ist das einzige Werkzeug für das Management von Informationssicherheit unter OpenSource-Lizenz. Es ist in 4 Bundesländern flächendeckend und in über 40 Bundesbehörden im Einsatz, dazu in einer großen Zahl an Kommunen, Stadtwerken und anderen Einrichtungen der Öffentlichen Hand, insbesondere auch bei kritischen Infrastrukturen. Für den Industriebereich unterstützt verinice neben dem IT-Grundschutz des BSI auch die ISO 27001 und ist hier bei Unternehmen in ganz Europa im Einsatz und auch beim Rat der Europäischen Kommission oder europäischen Nationalbanken.

Erste verinice.PARTNER haben ein Qualifizierungsprogramm durchlaufen und dürfen sich ab sofort offiziell als zertifizierte verinice.EXPERT präsentieren. Die Absolventen des Programms sind Sven Perscheid (AuraSec GmbH), Marino Mendner (CARMAO GmbH), Sören Risse (neam IT-Services GmbH) und Thomas Bleier (B-SEC better secure KG).

Neue Partnerinnen und Partner, die den Status eines zertifizierten verinice.EXPERT erlangen möchten, müssen sich dafür entsprechend qualifizieren. Neben langjähriger Praxiserfahrung in den Bereichen IT-Grundschutz sowie ISO27001 gehört dazu auch ein Nachweis über verinice-Kenntnisse. Dieser wird durch die Teilnahme an einer Partner-Schulung mit anschließender Prüfung und Zertifikat erbracht. Dadurch soll langfristig ein einheitlicher Kenntnisstand über Grundlagen des ISMS-Tools gewährleistet werden. Auftraggeber und Auftraggeberinnen erkennen den Status als verinice.EXPERT durch eine Kennzeichnung in der Partner-Übersicht.

Zu den Inhalten der Partner-Schulung gehören:

• Einführung und Grundlagen von verinice (Arbeiten mit Perspektiven und Views, Einstellungen sowie grundlegende Bedienung),
• Normen und Standards der Informationssicherheit (inkl. Risikomodell in verinice),
• Generischer Workflow & Web-Frontend (Aufgabenerzeugung, -bearbeitung und -überprüfung),
• Reporting,
• Benutzerverwaltung/ Berechtigungen,
• Audits & Self-Assessments.

Für 2020 sind noch weitere qualifizierende Schulungen für verinice.PARTNER geplant. Die nächste Online-Schulung ist für den 17. - 19. November 2020 angesetzt. Diese bietet SerNet als Herausgeberin von verinice derzeit direkt an. Der Vorteil liegt laut Tatjana Anisow, die die Partner-Schulungen konzipiert hat, in den klar auf verinice zugeschnittenen Inhalten und der Gestaltung nach den Vorstellungen  des verinice.TEAM.

Interessentinnen und Interessenten, die sich zum verinice.EXPERT qualifizieren wollen, wenden sich an Dr. Chen-Yu Lin (Kontakt per E-Mail), die das Partner-Management im verinice.TEAM verantwortet.

Das verinice-Team hat eine aktualisierte Version des IT-Grundschutz-Kompendiums veröffentlicht. Version 8.1 Edition 2020 steht ab sofort zur Verwendung in verinice (empfohlen ab verinice 1.20) zur Verfügung. Einzelplatz-NutzerInnen laden die neue Version im Downloadbereich herunter, verinice.PRO-KundInnen können das Update-Repository nutzen.

Gegenüber Version 8.0 wurden in Version 8.1 lediglich die Umsetzungshinweise für den Baustein CON.9 Informationsaustausch gelöscht. Hier waren die Anforderungen mit (teilweise) falschen Maßnahmen verknüpft.

verinice-AnwenderInnen, die bereits die Version 8.0 des Kompendiums verwenden, können durch Löschen der Umsetzungshinweise für den Baustein CON.9 Informationsaustausch das Problem selbst beheben. Ein Einsatz der Version 8.1 ist nicht erforderlich. AnwenderInnen, die das IT-Grundschutz-Kompendium der Edition 2020 erstmalig verwenden, wählen die neue Version 8.1.