Neuigkeiten

Meldungen rund um verinice

DENIC und verinice: Bericht zum 14. IT-Sicherheitskongress

02.07.2015

Ausgerichtet vom Bundesamt für Sicherheit in der Informationstechnik (BSI) fand der 14. Deutsche IT-Sicherheitskongress vom 19. bis 21. Mai 2015 unter dem Motto „Risiken kennen, Herausforderungen annehmen, Lösungen gestalten“ statt. Zum Programm bei trugen auch Boban Kršić, Chief Information Security Officer (CISO) der DENIC, und Alexander Koderman, Abteilungsleiter verinice der SerNet GmbH.

Der Vortrag der beiden beschäftigte sich mit dem Informationssicherheits-Managementsystem der deutschen TLD-Registry als Prävention gegen Cyber-Bedrohungen. Im Fokus standen die speziell für den Betrieb einer zentralen Internet-Infrastruktur notwendigen Schritte beim Aufbau des erforderlichen Risikobehandlungsmodells, das aus den strategischen Geschäftszielen abgeleitet wurde, sowie dessen Steuerung mit Hilfe diverser Key-Performance-Indikatoren (KPI); daneben wurde aber auch das Modell als generische Referenz für andere Organisationen diskutiert.

 

An dieser Stelle kam Co-Referent Alexander Koderman ins Spiel: Weil der gesamte Risikograph mit seiner Vielzahl von Beziehungen sich mit herkömmlichen Office-Tools nicht mehr abbilden ließ, setzt DENIC seit 2013 auf verinice. Das von SerNet entwickelte Open-Source-Tool eignet sich zur Implementierung von BSI IT-Grundschutz genauso wie für den komplexen Betrieb eines ISMS nach der internationalen Norm ISO/IEC 27001. Koderman, der bei SerNet verinice als Projektleiter federführend betreut, erläuterte, wie die mit seiner Unterstützung entstandene, an DENICs Erfordernisse angepasste Software-Lösung in der Lage ist, nicht nur das gesamte ISMS zu modellieren, sondern zugleich auch das Risikomanagement mit abzubilden und dadurch die Aufbereitung und Präsentation der Ergebnisse für die Entscheidungsträger im Unternehmen zu ermöglichen.

 

Den vollständigen Bericht der DENIC e.G. zum 14. Deutschen IT-Sicherheitskongress können Sie hier im PDF-Format nachlesen. Besonderer Dank gilt der DENIC für die Bereitstellung des Artikels. 


Deutscher verinice-Risikoatalog aktualisert auf DIN ISO 27001:2015-3

08.06.2015

Update für den verinice-Risikokatalog: Als DIN ISO 27001:2015-3 ist seit dem Frühjahr die deutsche Übersetzung der ISO 27001:2013 verfügbar. Diese ist auch in den aktualisierten verinice-Risikokatalog eingepflegt. Zusätzlich konnte das verinice.TEAM die ISO 27002:2013 integrieren, die Langtexte zu den einzelnen Maßnahmen enthält. Da hier noch keine offizielle  DIN-Übersetzung vorliegt, setzt verinice auf eigene Texte, die von der ARGE Rundfunk Betriebstechnik zur Verfügung gestellt wurden.

Eine verinice.PRO-Subskription beinhaltet bereits den Zugriff auf den verinice-Risikokatalog in Deutsch und Englisch mit allen Aktualisierungen. Auch die Neuerungen der DIN ISO 27001:2015-3 sowie die Integration der deutschen ISO 27002:2013 stehen verinice.PRO-Nutzern über den Update-Server zur Verfügung. Nutzer der freien Einzelplatz-Version von verinice haben die Möglichkeit, den Risikokatalog als Zusatzinhalt über den Online-Shop zu erwerben.

Die wichtigsten Neuerungen aus der offiziellen deutschen Übersetzung DIN ISO 27001:2015-3:

  • Die "IS-Leitlinie" heißt nun "Informationssicherheitspolitik", "Policy" wird ab sofort als "Politik" übersetzt. Diese Politik muss schriftlich festgehalten werden. Alle anderen Dokumente heißen weiterhin "Richtlinien", hier wurde "A.5 IS Policies" mit Informationssicherheitsrichtlinien" übersetzt.
  • "Dokumente" und "Aufzeichnungen" heißen nun "Dokumentierte Information", analog zu "Documented Information“. Das verinice.TEAM hat sich entschieden, wie schon im englischen Katalog die Objekttypen "Dokument" und "Aufzeichnung" beizubehalten, da diese Unterscheidung sinnvoll scheint und auch im Standard z.B. nach wie vor die Maßnahme "Schutz von Aufzeichnungen" enthalten ist.
  • Weitere Umbenennungen: Einige Bezeichnungen haben sich gewandelt, bei einigen haben wir die vorherige Version beibehalten.
    • "Information Security Risk Assessment" heißt nun "Informationssicherheitsrisikobeurteilung", und natürlich gibt es auch einen "Informationssicherheitsrisikobeurteilungsprozess". Der zugehörige verinice-Report wird umbenannt - allerdings in "IS-Risikobeurteilung" (statt "Informationssicherheitsrisikobeurteilungsbericht"). Analog wird aus dem "Information Security Risk Treatment" die "Informationssicherheitsrisikobehandlung" (Reportname: "IS-Risikobehandlung").
    • "Risk Owner" sind nun "Risikoeigentümer",
    • "Assets" sind "Werte" (verinice behält "Assets" bei)
    • Control A 8.1.2 "Assets shall be owned" lautet auf deutsch "Für Werte gibt es Zuständige" - in verinice gilt (ohne Customizing): Asset Owner = Risk Owner, d.h. mit Assets verknüpfte Personen betrachtet verinice als Risikoeigentümer (deutsch: Asset-Zuständiger = Risikoeigentümer).
    • "Controls" sind nun "Maßnahmen" (verinice behält "Control" bei)

 

 

Kennzahlen und die ISO 27004

Besonderes Augenmerk sollte den Kennzahlen gelten, die in Kapitel 9 der DIN ISO 27001:2015-3 "Überwachung, Messung, Analyse und Bewertung" zwingend eingefordert werden. Der zugehörige Standard ISO 27004, der dies genauer definiert, ist allerdings noch auf dem Stand von 2009 und wird derzeit überarbeitet. Notwendig wird der Aufbau eines  "ISMP" für das “ISMS": das "Information Security Measurement Programme". Es existiert keine deutsche Übersetzung der ISO 27004 in jedweder Version.

 

Kennzahlen beispielsweise zum Reifegrad der Control-Umsetzung, zum Erfolg von Risikobehandlungsmaßnahmen u.a. lassen sich in verinice durch die vorhandenen Reporting-Funktionen abdecken. Darüberhinaus hat das verinice.TEAM einige spannende Ideen für Erweiterungen in Sachen ISMP, an denen gerade gearbeitet wird.


Update für verinice 1.10

05.06.2015

In unser frisch veröffentlichtes verinice 1.10 hatte sich leider ein kleiner Fehler eingeschlichen: Unter Windows erschien der Startbildschirm (Splash-Screen) nicht. Zwar startete die Anwendung problemlos - ohne Splash-Screen folgte allerdings eine längere Wartezeit bis sich das eigentliche Programmfenster öffnete. In der Folge kam es zu Mehrfach-Click und entsprechend mehrfach geöffneten verinice-Instanzen. 

Das verinice.TEAM hat schnell für eine Behebung gesorgt. Durch ein Online-Update des verinice-Clients kann der Fehler beseitigt werden:

"Hilfe" -> "Auf Updates prüfen"

Wir bitten, diese Unannehmlichkeit zu entschuldigen. 


verinice 1.10 steht zum Download bereit

29.05.2015

Die neueste Version von verinice ist ab sofort verfügbar. Mit V 1.10 haben Nutzer von verinice damit z.B. Zugriff auf die IT-Grundschutzkataloge in englischer Sprache und können die Neuauflage des VDA IS-Assessment in der Version 2.x nutzen. Exklusive neue Features für die Server-Version verinice.PRO sind Single-Sign-On mit Active Directory und der Import von Personen aus dem AD in die Grundschutzansicht sowie die Optimierung der Aufgabenansicht.

Ein Dank des Teams geht an verinice.PARTNER Alexander von Ossowski,  der uns bei der Bereitstellung der englischen Grundschutzkataloge unterstützt hat.

Wichtiger Hinweis für das Update: Wegen der nötigen Datenmigration kann der erste Start des verinice-Clients nach dem Update etwas länger dauern als üblich. Dies ist kein Grund zur Beunruhigung. Weitere Hinweise finden Sie unter dem Punkt "Anzeige der Dateigröße im File-View". Bitte beachten Sie außerdem die allgemeinen Hinweise zum Update und die Release Notes.

 

Die Neuerungen im Überblick:

Englische IT-Grundschutzkataloge

Der vollständige Text der IT-Grundschutzkataloge des BSI ist ab verinice 1.10 auch in englischer Sprache verfügbar. Dies vereinfacht die Arbeit mit dem IT-Grundschutz in internationalen Teams.

Auch für Anwender der nativen ISO 27001:2013 ist der umfangreiche Gefährdungs- und Maßnahmenkatalog von erheblichem Nutzen: Bei einer Risikobewertung und Risikobehandlung können die Grundschutzkataloge als Datenbank zu speziellen Themen von Windows bis SAP zum Einsatz kommen.

Alle Gefährdungen lassen sich als Szenarien in eigenen Risikoanalysen verwenden. Per Drag-n-Drop können die gewünschten Gefährdungen oder ganze Bausteine in das Risikomodell gezogen werden.

Ebenso kann bei der Risikobehandlung auf die über 1.000 Grundschutzmaßnahmen zurückgegriffen werden. Als spezielle Controls ergänzen sie die generischen Vorgaben der ISO/IEC 27002:2013. Auch die Controls lassen sich einfach per Drag-n-Drop in das ISM-Risikomodell einfügen.

Die englischen IT-Grundschutzkataloge sind auf dem Stand der 13. Ergänzungslieferung des BSI.

Update auf VDA ISA 2.x

verinice V 1.10 unterstützt vollständig die Neuauflage des VDA IS-Assessment in der Version 2.x. Neben dem eigentlichen Katalog wurden auch die Methode zur Berechnung der Durchschnittswerte sowie der "Total Security Figure" angepasst.

Der ausgegebene Report stellt im Spinnennetzdiagramm den erreichten Reifegrad und den Zielreifegrad zu jedem Kapitel dar, unter Berücksichtigung aller als "N.A." markierten Fragen.

Anwender von verinice sind somit absolut konform zum VDA-Standard. Zudem ermöglicht ein Konsolidator die Übernahme von Assessment-Ergebnissen, die nach dem VDA 1.x Standard erfolgt sind. Verschiebungen von Controls etc. werden dabei korrekt berücksichtigt.

Anzeige der Dateigröße im File-View

Der File-View zeigt nun zu allen Attachments auch die Dateigröße an. Dies erleichtert z.B. das gezielte Aufräumen bei einer größer werdenden Datenbank.

Hinweis: Nach dem Update auf V 1.10 werden diese Informationen in der Datenbank ergänzt. Das Update wird bei der ersten Verbindung eines verinice-Clients zur Datenbank ausgelöst. Je nach Anzahl der vorhandenen Dateianhänge kann der Start des ersten verinice-Clients nach dem Update einige Sekunden bis zu mehreren Minuten in Anspruch nehmen. Wir empfehlen daher, unmittelbar im Anschluss an das Server-Update einen Client-Start durchzuführen, damit das Update vor der ersten regulären Benutzeranmeldung abgeschlossen ist. Der Vorgang wird nur ein einziges mal durchlaufen.

Exklusive Features von verinice.PRO

Single-Sign-On mit Active Directory

Auf Windows-Clients unterstützt verinice.PRO nun Single-Sign-On: der im System angemeldete Benutzer wird automatisch für den Login am verinice.PRO Server verwendet. Eine erneute Eingabe von Benutzername und Passwort entfällt.

Der bisherige Anmeldemechanismus mit erneuter Angabe von Benutzer und Passwort steht wahlweise weiterhin zur Verfügung, falls Sie z.B. in verinice mit einem anderen als dem unter Windows angemeldeten Benutzer arbeiten möchten.

Import von Personen aus AD in die Grundschutzansicht

Beim AD-Import kann nun ausgewählt werden, ob die importierten Personen und Accounts im ISM- oder im Grundschutz-Modell angelegt werden sollen.

Optimierung der Aufgabenansicht

Der Aufgaben-View wurde verbessert: Aufgaben werden schneller geladen, ein Suchformular ermöglicht das Auffinden spezieller Aufgaben. Aufgaben können nach Gruppe, Bearbeiter, Prozess, Aufgaben-Typ, Start- und End-Termin gesucht werden.

Detailverbesserungen und Fehlerkorrekturen

Kleinere Verbesserungen und eine Vielzahl behobener Fehler an diversen Stellen runden das Update auf V 1.10 ab. Erwähnenswert sind z.B.:

  • Im Web-Frontend für Aufgaben kann nun der Volltext von Grundschutz-Maßnahmen angezeigt werden. Das erleichtert das Delegieren beim Basissicherheits-Check sowie bei der Maßnahmenumsetzung.
  • Die lokale Report-Ablage auf dem verinice-Client funktioniert nun wie vorgesehen.
  • Die Bausteinzuordnungen, Personenzuordnungen und Zielobjekte-Typen beim GSTOOL-Import wurden korrigiert.
  • Das Vererben von Custom-Icons an untergeordnete Objekte kann nun an- oder abgeschaltet werden.
  • Beim Verschieben von Objekten kann ausgewählt werden, ob die Zugriffsrechte des Zielordners für das verschobene Objekt übernommen werden sollen.
  • Beim Doppelklick auf ein Attachment im File-View wird in der Baumdarstellung nun das zugehörige Objekt selektiert.
  • In der Account-Anzeige wird nun angezeigt: "Nachname, Vorname [Account]"
  • In der Account-Gruppenanzeige werden in der Gesamtliste nicht wie bisher alle Accounts angezeigt, sondern nur noch diejenigen, die nicht in der gewählten Gruppe enthalten sind. Das erleichtert die Suche nach nicht-zugeordneten Accounts.
  • Die kundenspezifische Customizing-Datei ("SNCA.xml") wird nun beim Update nicht mehr verschoben sondern bleibt in Betrieb. Achtung: Bitte beachten Sie nach wie vor die Update-Anleitung zum Umgang mit Konfigurationsdateien!

 

 


Vortrag beim 14. Deutschen IT-Sicherheitskongress

13.05.2015

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist vom 19. bis 21. Mai 2015 Gastgeber des 14. Deutschen IT-Sicherheitskongresses. Im Programm vertreten ist auch Alexander Koderman, Teamleiter verinice bei SerNet. Gemeinsam mit Boban Kršić (DENIC eG) hält er einen Vortrag zu "IS-Management als Prävention von Cyber-Bedrohungen bei der DENIC eG".

Der Kongress findet in der Stadthalle Bad-Godesberg in Bonn statt und steht in diesem Jahr unter dem Motto "Risiken kennen, Herausforderungen annehmen, Lösungen gestalten". Der Vortrag von Koderman und Kršić ist am Donnerstag, 21. Mai, um 11.30 Uhr zu hören. Die Präsentation wird anschließend als PDF auf den Seiten des BSI verfügbar sein. 

Die Teilnahmegebühr für den Kongress liegt zwischen 200 und 750 Euro. Das Programm ist online verfügbar.


Neue verinice-Screencasts aus Norwegen

14.04.2015

Von der Installation und dem Arbeiten mit verinice bis hin zum Import von OpenVAS-Scans: 16 (englischsprachige) Screencasts, produziert von Nils Ulltveit-Moe, führen verinice-Benutzer durch das OpenSource ISMS. Die Video sind via YouTube abrufbar.
 
Die Tutorials zeigen beispielsweise, wie Gefahren und Schwachstellen angelegt, wie Risikoszenarien und Risikobewertungsberichte erstellt oder wie Dokumente und Design-Workflows hinzugefügt werden können. Vorgestellt wird auch der spanische offenen Standard MAHGERIT. Damit zeigt der Video-Kurs ein nützliches verinice-Feature: Die Möglichkeit Kataloge und Inhalte zu importieren.

Ulltveit-Moe ist Professor an der Universität von Agder (Norwegen). Seine Screencasts und der damit verbundene verinice-Kurs sind Teil des EU-geförderten Projektes PRECYSE (Prävention, Schutz und Reaktion auf Cyber-Angriffen auf kritische Infrastrukturen).

Das verinice.TEAM freut sich über den Community-Beitrag und die interessanten Ansätze. Gleichzeitig möchten wir weitere verinice-Nutzer ermutigen, das Tool zu erkunden, zu benutzen und eigene Inhalte beizusteuern.


Marion Herrmann ist neuer verinice.PARTNER

24.03.2015

Dr. Marion Herrmann ist neu im verinice.PARTNER-Programm. Seit Kurzem kann die Geschäftsführerin der Datenschutz Symbiose GmbH als externe verinice-Partnerin für Schulungen, die Begleitung von IT-Prozessen und als Datenschutzbeauftragte sowie für Datenschutz- und IT-Sicherheitsaudits heran gezogen werden. Informationen zu Schwerpunkten, Zertifizierungen und Referenzen sind im entsprechenden Partner-Eintrag zu finden.

verinice.PARTNER sind vom verinice.TEAM ausgewählte, erfahrene Berater. Sie haben bereits in mehreren abgeschlossenen Projekten unter Beweis gestellt, dass Sie verinice / verinice.PRO erfolgreich bei ihren Kunden zum Einsatz bringen.


"Schwachstellenmanagement mit verinice" auf der Security Transparent

16.03.2015

Schwachstellenscans und ein ISMS lassen sich in Form von Greenbone Security Management (GSM) und verinice zu einem zentral gesteuerten Prozess für das Schwachstellenmanagement verzahnen. Mehr zu dieser erfolgreichen Kombination gibt es auf der Anwenderkonferenz der Greenbone Networks GmbH am 6. Mai 2015 in München. Von 9 bis 17.30 Uhr haben dort Nutzer die Möglichkeit, alles zu Greenbone und weiteren Partnern, wie z.B. verinice, zu erfahren. 

Ab 14 Uhr spricht  Alexander Koderman, verinice-Teamleiter bei SerNet, außerdem zum Thema "1000 und 1 Schwachstelle". Er zeigt auf, wie Unternehmen mit einer Integration von Schwachstellenscans im ISMS Schwachstellen nicht nur schließen, sondern auch ihre Effizienz deutlich steigern und Sicherheit erzielen können.

Der Vortrag bezieht sich auf zwei praktische Beispiele für das Management von Schwachstellen aus zwei Unternehmen: einem führenden Hersteller der Automotive-Branche mit weltweit 60.000 Mitarbeitern sowie einem der drei größten deutschen Versicherungskonzerne.

Veranstaltungsort ist das Zillertalstudio (Zillertalstr. 29, Rückgebäude, 81373 München). Anmeldungen sind noch möglich.


14. Ergänzungslieferung der IT-Grundschutz-Kataloge steht zum Download bereit

06.03.2015

Gerade erst hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die 14. Ergänzungslieferung der IT-Grundschutzkataloge in Form eines Metadatenupdates veröffentlicht. Für Anwender von verinice und verinice.PRO ist sie bereits nutzbar. Dank des effizienten Team-Einsatzes können verinice-Anwender ab sofort mit den neuen, umfangreichen Bausteinen zu den Themen Web-Services und Cloud-Management im Tool arbeiten. 

Anleitung für verinice.PRO

Für Anwender von verinice.PRO liegt ein neues RPM-Paket im Repository bereit, das über den gewöhnlichen Update-Befehl eingespielt werden kann. Nach dem Update des RPM-Pakets muss die Konfiguration des verinice.PRO Servers geändert werden, damit die neue Datei eingelesen wird. Ändern Sie in der Datei:

 

/usr/share/tomcat6/webapps/veriniceserver/WEB-INF/veriniceserver-plain.properties

 

die Property veriniceserver.grundschutzKataloge auf den Wert:

 

veriniceserver.grundschutzKataloge=/WEB-INF/it-grundschutz_el14_html_de.zip

 

Zur Sicherheit sollten Sie vor dem Neustart des Tomcat-Servers auch den Ordner "gscache" löschen, dieser befindet sich hier: /usr/share/tomcat6/temp/gscache Selbstverständlich unterstützen wir Sie gern im Rahmen ihres Supportverrages bei der Durchführung des Updates.

Anleitung für verinice. Standalone-Version

Anwender der kostenlosen Version von verinice können den Katalog für verinice unter folgender URL herunterladen:

 

http://updates.verinice.org/pub/verinice/content_for_verinice/it-grundschutz_el14_html_de.zip

 

Nach dem Download muss die Datei in den Einstellungen von verinice ausgewählt werden: Menü -> Einstellungen -> BSI IT-Grundschutz -> ZIP-Datei mit GS-Katalogen. Falls nach dem Einlesen die veränderten Inhalte nicht angezeigt werden, schließen Sie bitte die Anwendung. Löschen Sie dann den Ordner "gscache". Er befindet sich im Ordner "verinice" Heimatverzeichnis Ihres Benutzers, unter Windows 7 z.B. hier:

 

C:\Benutzer\<Benutzername>\verinice\workspace\gscache

 

Löschen Sie den Ordner "gscache" mitsamt aller enthaltenen Dateien und starten danach den Client neu. Die neuen Kataloge sollten nun eingelesen werden.

Änderungen gegenüber der Vorgängerversion

Bitte beachten Sie die Liste der Änderungen der 14. EL gegenüber der Vorgängerversion, insbesondere Änderungen bei einzelnen Maßnahmen, die Sie im Rahmen ihres Basis-Sicherheitschecks berücksichtigen müssen. 

Veränderungen wie z.B. entfallene Maßnahmen werden von verinice nach dem Import angezeigt, wenn Sie das entsprechende Objekt auswählen. Änderungen im Inhalt einzelner Maßnahmen müssen vom Sicherheitsbeauftragten evaluiert und ggf. neu bewertet werden. Beim Übertragen der vorhandenen Ergebnisse in überarbeitete Bausteine hilft Ihnen die Konsolidierungsfunktion von verinice.

 Hinweise auf die Veränderungen finden Sie in der News des BSI zur 14. Ergänzungslieferung.


verinice auf den WHD.global 2015

05.03.2015

Vom 24. bis 26. März 2015 ist verinice auf den WHD.global (World Hosting Days) vertreten. Mit einem verinice-Stand (Standnummer D12) schließt sich die SerNet GmbH dem Branchentreff des Hosting- und Internetsektors im Europa-Park Rust an.

Das SerNet-Team vor Ort freut sich, zu verinice und damit verbunden den Schwerpunkten IT-Security, ISMS, ISO 27001 sowie BSI-Grundschutz zu informieren. Am Donnerstag, 26. März 2015 gibt es außerdem den Vortrag "There is no security without Open Source" von SerNet-Geschäftsführer Dr. Johannes Loxen (Raum "Circus Celebration"). Auch fleißige v.LEUTE suchen wir wieder! Uns einen Besuch abzustatten lohnt sich also gleich mehrfach.

SerNet-Stand D12

Die World Hosting Days generell drehen sich rund um aktuelle Trends der Netzwelt und Internetwirtschaft. Unter anderem sprechen MySQL-Erfinder Monty Widenius, Sicherheitsexperte Eugene Kaspersky, Apple-Mitgründer Steve Wozniak und - per Videokonferenz - Edward Snowden. Hosting- und Datacenter-Themen wie Virtualisierung, Cloud Computing und Sicherheit bestimmen darüber hinaus das Programm.

Wer sich verinice und die WHD also nicht entgehen lassen möchte, erhält ein kostenloses Tagesticket mit dem Code:

LXWTCGF

Dieser kann auf den Seiten der WHD eingelöst werden.


English languageDeutsche SpracheLingua italiana
© SerNet GmbH, 2018