Neuigkeiten rund um verinice.

Das IT-Grundschutz-Profil für Leitstellen steht ab sofort zum Einsatz in verinice (ab Version 1.22) zur Verfügung. Das Grundschutz-Profil wird vom Fachverband Leitstellen e.V. herausgegeben und kann nun direkt in verinice eingebunden werden. Erhältlich ist es als zusätzlicher Content bzw. Zusatzmodul kostenlos über den verinice.SHOP.

Informationssicherheitsprozess in Leitstellen etablieren

Anwender*innen hilft das IT-Grundschutz-Profil für Leitstellen dabei, einen Informationssicherheitsprozess in einer Leitstelle zu installieren und diesen an den entsprechenden Bedarf anzupassen. Die Grundschutz-Profile sind vom BSI als Schablone für Informationssicherheit gedacht: mit ihrer Hilfe sollen Anwender*innen, die ähnliche Sicherheitsanforderungen haben, anhand der Vorlage "ressourcenschonend das Sicherheitsniveau überprüfen oder damit beginnen, ein Managementsystem für Informationssicherheit (ISMS) nach IT-Grundschutz aufzubauen." (siehe BSI-Infoseite zu IT-Grundschutz-Profilen)

Das vorliegende Grundschutz-Profil soll insbesondere der zunehmenden Vernetzung der Leitstellen gerecht werden, durch die IT-Sicherheit eine sehr hohe Bedeutung für die Sicherstellung der Arbeitsfähigkeit erlangt. Erstellt wurde es in Zusammenarbeit von Bundesamt für Sicherheit in der Informationstechnik (BSI), Fachverband Leitstellen e.V., Bundesverband Professioneller Mobilfunk e.V. (PMeV) sowie Vertreter*innen aus Leitstellen und Fachfirmen. Zielgruppe dieses Profils sind in erster Linie die für Informationstechnik verantwortlichen Entscheidungstragenden aus dem Bereich der Leitstellen. Ebenso soll es Herstellern von Leitstellentechnik und mit der technischen Planung von Leitstellen beauftragten Fachplanern als Handlungsleitfaden für die Informationssicherheitskonzeption in Leitstellen dienen. Aber auch weitere Interessierte können das Musterszenario auf ihre individuellen Rahmenbedingungen übertragen.

Enthalten im "IT-Grundschutz-Profil Leitstellen für verinice" sind zwei Beispielorganisationen sowohl auf Basis des IT-Grundschutz-Kopendiums in Edition 2020 als auch in Edition 2021. Die aktualisierte Version hat das verinice.TEAM erstellt und kann optional eingesetzt werden – je nachdem mit welcher Edition Nutzer*innen arbeiten. Durch den Import der entsprechenden Datei in verinice steht dann ein Informationsverbund mit modellierten Zielobjekten entsprechend des IT-Grundschutz-Profils zur weiteren Verwendung und individuellen Anpassung zur Verfügung.

Das originale IT-Grundschutz-Profil für Leitstellen kann als PDF beim BSI heruntergeladen werden.

Das verinice.TEAM hat das zusätzliche Modul verinice PCI DSS veröffentlicht. Dieser Anforderungskatalog bildet den Payment Card Industry Data Security Standard (PCI DSS)  in verinice ab. Die Nutzung des Moduls mit verinice ist ab Version 1.22 in der ISM-Perspektive möglich. Erhältlich ist es kostenpflichtig im verinice.SHOP. 

Über das Modul verinice PCI DSS

Das Modul verinice PCI DSS ermöglicht es, die Erfüllung der PCI DSS-Anforderungen toolgestützte zu überprüfen. Anforderungen aus weiteren Standards/Normen oder Gesetzen (z.B. GDPR, HIPAA, ISO 27001 etc.) können außerdem komfortabel gemappt werden, um Redundanzen zu vermeiden. verinice ermöglicht somit ein integriertes Management-System. 

verinice und das PCI DSS-Modul erleichtern es im Zusammenspiel erheblich, die Erfüllung der Anforderungen zu überprüfen und zu bearbeiten. Das Modul enthält die gesamten Anforderungen des PCI DSS, die in verinice importiert werden. Anwender*innen können so den aufwendigen und lästigen Teil der Arbeit überspringen, und Zeit produktiver für die Arbeit mit dem Standard nutzen. Zudem können Verantwortlichkeiten in verinice hinterlegt und einzelne Anforderungen delegiert werden, so dass Kolleg*innen gemeinsam an der Bewertung arbeiten können. Die zugehörigen Reports bieten aussagekräftige Übersichten zum Status Quo der Organisation.

Über den PCI DSS

Der Payment Card Industry Data Security Standard (PCI DSS) wurde entwickelt, um die Sicherheit von Karteninhaberdaten zu verbessern und die Akzeptanz einheitlicher Datensicherheitsmaßnahmen auf der ganzen Welt zu vereinfachen. Der PCI-DSS liefert grundlegende technische und betriebliche Anforderungen zum Schutz von Karteninhaberdaten. Der PCI-DSS gilt für alle Einheiten, die an der Verarbeitung von Zahlungskarten beteiligt sind – einschließlich Händlern, Verarbeitungsunternehmen, abrechnenden Stellen, Kartenemittenten und Dienstleistern sowie anderen Stellen, die CHD (Cardholder Data, Karteninhaberdaten) und/oder SAD (Sensitive Authentication Data, Vertrauliche Authentifizierungsdaten) speichern, verarbeiten oder weitergeben.

verinice. sowie verinice.PRO und das Zusatzmodul B3S Krankenhaus sind für eine Förderung aus dem Krankenhauszukunftsfond (KHZF) qualifiziert. SerNet bietet damit Kliniken und Krankenhäusern, die bis zum Stichtag 01.01.2022 ihre IT-Sicherheit verbessern und ein Informationssicherheits-Management einführen müssen, eine umfassende, bedarfsgerechte und zudem noch förderfähige Lösung. Der entsprechende Eignungsnachweis für berechtigte Dienstleister liegt bei SerNet vor. 

Das ISMS-Tool verinice bzw. verinice.PRO ist bereits als zuverlässige Lösung in der Gesundheitsbranche im Einsatz (z.B. Universitätsklinikum Halle, Charité Universitätsmedizin Berlin). Das verinice.TEAM hat zudem den "Branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus" (B3S Krankenhaus) integriert, der von der Deutschen Krankenhausgesellschaft herausgegeben wird. Die Kombination aus verinice und dem Branchenstandard unterstützt Krankenhäuser dabei, Anforderungen aus dem Patientendaten-Schutz-Gesetz (PDSG) gerecht zu werden. Demnach sind bis zum 01.01.2022 auch Kliniken und Krankenhäuser, die nicht als KRITIS (>30.000 vollstationäre Fälle) eingestuft sind, "verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme zu treffen, um die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen sicherzustellen." 

Entsprechend dem Krankenhauszukunftsgesetz für die Digitalisierung von Krankenhäusern (KHZG, Verbesserung der IT-Infrastruktur, Fördertatbestand 10 "IT-Sicherheit") kann für Beschaffung und Betrieb von verinice oder verinice.PRO sowie das verinice-Modul B3S Krankenhaus seit dem 1.1.2021 eine Förderung beantragt werden. Die zuständigen Kolleg*innen aus dem Vertriebsteam der SerNet haben zudem das nötige Zertifikat nach der Krankenhausstrukturfonds-Verordnung (KHSFV) erlangt. SerNet ist damit berechtigter Dienstleister. 

Auch einige verinice.PARTNER können bereits das "KHZG-Zertifikat" vorweisen und bieten umfassende Beratung an zu den Themen: Verbesserung der IT-Sicherheit, ISMS für Krankenhäuser allgemein oder speziell mit dem B3S und der Förderung aus dem KHZF. Die entsprechenden Partner*innen können Sie über unseren Partner-Locator identifizieren.

Die neue Version des ISMS-Tools verinice 1.22.1 ist verfügbar.

(UPDATE: Siehe unten am Ende des Textes zu den kurzfristigen Änderungen von 1.22 auf 1.22.1.)

Anwender*innen können sie entweder über den verinice.SHOP beziehen oder im Repository für Pro-Kund*innen herunter laden. In den Release Notes zu verinice 1.22 listet das verinice.TEAM alle Neuerungen auf. 

Auch das IT-Grundschutz-Kompendium Edition 2021 des BSI ist ab sofort im verinice.SHOP bzw. im Pro-Repository verfügbar. Empfohlen ist die Nutzung in Kombination mit verinice 1.22 – das Update von Informationsverbünden, die mit einer vorherigen Edition des IT-Grundschutz-Kompendiums modelliert wurden, ist möglich.

Besonders hervorzuheben sind in der neuen Version: 

• VDA ISA / TISAX Version 4 und 5 (Kataloge und Report-Templates): Zur Abbildung des Self Assessments nach VDA ISA / TISAX werden mit verinice 1.22 sowohl die aktuell gültige Version 5 (voreingestellt) als auch die Vorgängerversion 4 inklusive der jeweils passenden Report-Templates ausgeliefert.
• Meldeformular entsprechend BSIG 8b für Sicherheitsvorfälle: Das Zielobjekt Incident/Vorfall wurde sowohl für die ISM-Perspektive als auch die Perspektive des modernisierten IT-Grundschutz aktualisiert und bildet nun Sicherheitsvorfälle ab.
• Korrektur des Verknüpfungs-View unter macOS BigSur: Dieses Problem wurde gemeinsam mit der verinice-Community identifiziert und gelöst. 
• Beschleunigung des VNA-Exports bei Verbünden mit mehr als 20.000 Elementen

Das Datenschutzmodul 3 für verinice steht ebenfalls in überarbeiteter Version bereit. Enthalten ist nun das Meldeformular nach BSIG 8b zu Datenschutzvorfällen für die jeweilige Perspektive (IT-Grundschutz und ISO/ISM). Dies betrifft ebenso den Risikokatalog-Plus inkl. Datenschutzmodul, der sich insbesondere an Energienetzbetreiber richtet, die den verpflichtenden IT-Sicherheitskatalog und darin befindliche Forderungen nach §11 Abs. 1a EnWG umsetzen müssen (auf Basis von DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017,ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020). Zusätzlich wurde das Datenschutzmodul für die Grundschutz-Perspektive auf das neue Grundschutz-Kompendium Edition 2021 aktualisiert. 

verinice 1.23 ist für KW 40 geplant (4. bis 8. Oktober 2021) geplant. Die Roadmap dazu ist im verinice.FORUM einsehbar. Bereits fest steht, dass Apple M1 nativ unterstützt werden soll und ein Update auf Java 11 sowie des RCP-Frameworks ansteht. Auch eine Entscheidung zur CentOS-Nachfolge soll bis zur Veröffentlichung im Herbst fallen.

Update: 1.22 auf 1.22.1

Das verinice.TEAM behebt mit verinice 1.22.1 einen Fehler beim Update eines modellierten Informationsverbundes auf die Edition 2021 des IT-Grundschutz-Kompendiums. Fälschlicher Weise wurden Änderungen aus der vorherigen Edition 2020 beim Nachmodellieren nicht gelöscht sondern als "neue" Änderungen aus der Edition 2021 beibehalten. Ausführlich ist das Problem in diesem Beitrag im Forum beschrieben: https://forum.verinice.com/t/kompendiums-update-von-8-0-und-8-1-auf-9/1337. Das Problem kann in verinice 1.22.1 durch eine erneute Nachmodellierung mit der parallel veröffentlichten neuen Version 9.1 des IT-Grundschutz-Kompendiums der Edition 2021 einfach korrigiert werden. Für jedes Update (Nachmodellierung) von einer Edition des IT-Grundschutz-Kompendiums zu einer neueren muss mindestens verinice 1.22.1 verwendet werden!

IT-Grundschutz-Kompendium 9.1 Edition 2021

Das verinice.TEAM stellt mit dem **IT-Grundschutz-Kompendium 9.1 Edition 2021** eine neue Version des IT-Grundschutz-Kompendiums zur Korrektur des mit verinice 1.22.1 behobenen Fehlers beim Update des IT-Grundschutz-Kompendiums bereit. Die neue Version ersetzt die bisherige inhaltsgleich, ermöglicht aber durch das neuere Release Tag [2021-1] die Korrektur durch einfache Nachmodellierung. Anwender*innen, die einen Informationsverbund ohne Update aus einer vorherigen Edition mit der Vorgängerversion *IT-Grundschutz-Kompendium 9 Edition 2021* modelliert haben, können diese weiter verwenden. Eind Update von Version 9 auf Version 9.1 ist nicht erforderlich. Hinweis: Für jedes Update (Nachmodellierung) von einer Edition des IT-Grundschutz-Kompendiums zu einer neueren muss mindestens verinice 1.22.1 verwendet werden!

Das finale Programm für die verinice.XP 2021 ist online. Die Konferenz findet am 24. und 25. Februar erstmals komplett in digitaler Form statt. Die Referentinnen und Referenten halten ihre Vorträge live via Zoom – Teilnehmerinnen und Teilnehmer können die Konferenz flexibel von jedem beliebigen Standort verfolgen. Die Agenda ist auf der Konferenzseite veröffentlicht, Tickets sind für 99 Euro zu haben.

Das Programm

Gleich zum Auftakt wagt Dirk Brand (SILA Consulting) den Blick über das Gewohnte hinaus: "verinice beyond ISMS - Mit verinice integrierte Management-Systeme managen" ist seine Keynote betitelt. Brand möchte aufzeigen, wie die offene Struktur von verinice genutzt werden kann, umzusätzlich zu existierenden ISMS und DSMS weitere Managmentsysteme zu integrieren und verwalten. Sein Statement: "Risikomanagement, Assetmanagement (gruppiert) und andere für alle Managementsysteme wichtigen Grundlagen können mit verinice dokumentiert und verwaltet werden."

An Tag 1 stellt außerdem Deniz Desti (HiSolutions) die "Neuerungen im BSI IT-Grundschutz Kompendium 2021" vor. Rico Barth (c.a.p.e. IT) wird erneut auf die Zusammenarbeit von verinice und KIX schauen. Sein Vortrag wird sich der "Unterstützung der ISO 27001-Zertifizierung durch den Einsatz des IT-Service Management Systems KIX" widmen.

Über "Die häufigsten Fehler bei der Einführung eines ISMS mit einem Tool" (und wie diese vermieden werden können) wird Florian Ferenczy (AuraSec) berichten. Kai Wittenburg (neam IT-Services GmbH) wird mit dem Vortrag "Microsoft 365 Sicherheitskonzept in verinice" aufzeigen, wie Anwendungen wie Teams, SharePoint, Planner und weitere Applikationen sicher genutzt werden können.

An Tag 2 verrät Thomas Lundström (SoftEd Systems), wie sich "Aus verinice das Management begeistern" lässt. Er wird aufzeigen, wie mit möglichst wenig Aufwand die benötigten Informationen aus verinice exportiert und mit einem Graphen Tool gezeichnet werden können. Ebenfalls in Richtung Management zielt der Vortrag von Hagen Bauer (rusticus consulting): "Was kosten Databreaches? Finanzielle Argumente für die Erbsenzähler" wird er an die Hand geben, um die Geschäftsführung von Investitionen in Informationssicherheit zu überzeugen. "Wenn es wirklich zählt – Besseres Schwachstellen-Management in fünf Minuten" ist der Vortrag von Alexander Koderman (SerNet, verinice-Team) betitelt. Er wird Tipps geben, wie man Software-Schwachstellen schnell entdecken kann.

Einen Ausflug in die Entwicklung von verinice plant Daniel Murygin (SerNet, verinice-Entwicklungsleiter). Gemeinsam mit Michael Flürenbrock (SerNet, verinice Project Owner) wird er verinice.veo vorstellen. Flürenbrock wird außerdem einen Ausblick auf die Roadmap zu verinice & verinice.veo geben.

Social Event & Workshops

Neben dem inhaltlichen Programmteil plant das Orga-Team ein getrennt-gemeinsames, digitales Social Event. Dazu sind alle TeilnehmerInnen der Konferenz am 24.2. ab 18:00 Uhr eingeladen. Eine kleine Überraschung dazu macht sich in Kürze auf den Weg.

Für den 23. Februar 2021 können außerdem exklusive Workshops (ebenfalls Remote Sessions via Zoom) gebucht werden. Die Teilnahme ist unabhängig von der verinice.XP möglich. Zur Auswahl stehen die Themen "Umsetzung des modernisierten Grundschutzes in verinice" und "Modernisierter Grundschutz – Die ultimative Perspektive!". Die Teilnahme kostet 199 Euro.

Über die verinice.XP

Die verinice.XP ist die Konferenz für AnwenderInnen des OpenSource ISMS-Werkzeugs verinice.

Die verinice.XP bringt seit Jahren IT-EntscheiderInnen, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden zusammen. Sie alle verbindet die Nutzung von verinice  für das Management der Informationssicherheit oder das Datenschutz-Management.

Für verinice gibt es zahlreiche zusätzliche Inhalte, die Nutzerinnen und Nutzer je nach Bedarf in das ISMS-Tool integrieren und einsetzen können. Das verinice.TEAM bietet diese überwiegend kostenlos und ab sofort über den verinice.SHOP an. Dazu gehören u.a. Mindeststandards des BSI und die IT-Grundschutz-Profile

Die derzeit kostenlosen Inhalte in der Übersicht:

• IT-GS-Kompendium, sowohl in der aktuellsten Fassung als auch in älteren Editionen
• Demodaten "ModPlastGmbH", eine Beispieldatenbank für den Modernisierten IT-Grundschutz
• Mindeststandards des BSI
  • Schnittstellenkontrollen
  • Mobile Device Management
  • Protokollierung und Detektion von Cyber-Angriffen
  • Verwendung von Transport Layer Security (TLS)
  • Web-Browser
  • Nutzung und Mitnutzung externer Cloud-Dienste
• IT-Grundschutz-Profile
  • Basis-Absicherung Kommunalverwaltung Version 2.0
  • für Handwerksbetriebe
  • Für Handwerkskammern
  • für die obersten Landesbehörden Deutschlands
  • Für Papierfabriken
  • für Reedereien - Landbetrieb
  • für Reedereien - Schiffsbetrieb
• Kataloge & Richtlinien: IT-Grundschutz-Kriterienkatalog Cloud Computing C5:2020

Ein Großteil der Inhalte war bislang über die verinice-Informationsseite in einem Downloadbereich zugänglich. Der Umzug in den verinice.SHOP verspricht mehr Übersichtlichkeit und Komfort für die Anwenderinnen und Anwender. Neu hinzugekommen sind die IT-Grundschutz-Mindeststandards sowie der "IT-Grundschutz-Kriterienkatalog Cloud Computing C5:2020".

Die Mindeststandards beschreiben ein Mindestniveau für die Informationssicherheit des Bundes. Das BSI hat sie im Rahmen des § 8 Abs. 1 BSIG erarbeitet, um Gefahren für die IT des Bundes abzuwehren. Die Mindeststandards sind für die Bundesverwaltung erstellt, können aber auch in Landesverwaltungen oder Unternehmen angewandt werden. Laut BSI sind die Sicherheitsanforderungen "so formuliert, dass diese auch außerhalb der Bundesverwaltung erfüllt werden können."

Das kostenpflichtige Angebot besteht aus

• dem Risikokatalog sowie dem Risikokatalog Plus (ISO 27001 / ISO 27019),
• dem Datenschutzmodul sowie
• dem Branchenstandard  B3S Krankenhaus.

Auch diese Module können je nach Bedarf einzeln oder als Kombi-Pakete über den verinice.SHOP gekauft werden. Lassen Sie sich gerne beraten und kontaktieren Sie hierzu die SerNet via Mail an vertrieb@remove-this.sernet.de

Weiterhin stellt das verinice.TEAM Dateien für den "alten" IT-Grundschutz bereit, vor allem die Ergänzungslieferungen zu den Grundschutz-Katalogen und die Modelldatebank "RecPlast GmbH". Die Dateien sind über das Hauptmenü im Support-Bereich unter https://verinice.com/support/alter-it-grundschutz zu erreichen.

Mit verinice. stellt die SerNet GmbH das einzige quelloffene Tool für das Management von Informationssicherheit (ISMS) bereit. Um dynamisch zu wachsen und die Entwicklung der Software weiter voran zu treiben, sucht das Team ab sofort Verstärkung.

Drei Stellen sind derzeit ausgeschrieben:

• Front-End EntwicklerIn für verinice. (d/w/m)
• Back-End EntwicklerIn für verinice. (d/w/m)
• Full-Stack-EntwicklerIn für verinice. (d/w/m)

Das verinice.TEAM arbeitet verteilt an den Standorten Berlin (Mitte) und Göttingen (Stammsitz der SerNet). Interessenten können sich für beide Standorte bewerben. Details zu Aufgaben, Anforderungen und Leistungen sind in der jeweiligen Stellenausschreibung enthalten.

Über verinice
verinice ist das einzige Werkzeug für das Management von Informationssicherheit unter OpenSource-Lizenz. Es ist in 4 Bundesländern flächendeckend und in über 40 Bundesbehörden im Einsatz, dazu in einer großen Zahl an Kommunen, Stadtwerken und anderen Einrichtungen der Öffentlichen Hand, insbesondere auch bei kritischen Infrastrukturen. Für den Industriebereich unterstützt verinice neben dem IT-Grundschutz des BSI auch die ISO 27001 und ist hier bei Unternehmen in ganz Europa im Einsatz und auch beim Rat der Europäischen Kommission oder europäischen Nationalbanken.

Arbeiten bei SerNet
Weitere Informationen der SerNet zum Arbeitsumfeld finden Sie online, ebenso weitere Informationen zu Ausbildung, Studium und Frauen in MINT-Berufen. Außerdem erfahren Sie hier, wie wir mit COVID-19 und HomeOffice umgehen.

Ansprechpartnerin für Fragen zu den Stellen oder für Bewerbungen (PDF-Format) ist SerNet-Geschäftsführerin Reinhild Jung unter jobs@sernet.de.