Neuigkeiten

Meldungen rund um verinice

Update des BSI IT-Grundschutz-Reports "A.6 Risikoanalyse"

03.03.2016

Am 17. Februar 2016 ist verinice in Version 1.12 erschienen. Seit diesem Update haben uns mehrere AnwenderInnen darauf hingewiesen, dass der
angepasste Report "A.6 Risikoanalyse" noch einige Ungereimtheiten enthält.

Das Team bedankt sich bei den aufmerksamen NutzerInnen und liefert eine nochmals überarbeitete Version aus. Sie finden die Datei derzeit im verinice.FORUM und können Sie dort separat herunter laden.

Um die neue Report-Version zu nutzen, kopieren Sie am besten das Template in Ihren verinice-Workspace in den Ordner

report_templates_local

verinice.PRO-Nutzer können alternativ dazu die Ansicht "Report-Ablage" benutzen
um das Template auf dem verinice.PRO-Server zu hinterlegen.

Danach können Sie den aktualisierten Report während der Reporterzeugung ganz normal auswählen.


Wichtiger Hinweis: Beheben der glibc-Sicherheitslücke

18.02.2016

Am 17. Februar 2016 ist eine Sicherheitslücke in der Linux-Bibliothek glibc bekannt geworden. Als Reaktion darauf sollten verinice.PRO Anwender die bereitgestellten Betriebssystemupdates einspielen.

Mit dem Befehl

yum update 

wird das gesamte System auf die neueste Version gebracht.

Soll nur das Betriebssystem aktualisiert werden ohne ein gleichzeitig ein Update der verinice-Version vorzunehmen, kann folgender Befehl verwendet werden:

yum update --exclude=verinice*

verinice 1.12 ist erschienen

17.02.2016

verinice 1.12 ist erschienen. Neu sind u.a. ein optimierter GSTOOL-Import, der benutzerdefinierte Vorgaben berücksichtigt, eine Perspektive für das Arbeiten mit gekoppelten Schwachstellen-Scannern und viele Detailverbesserungen.

Zu den herausragenden Neuerungen in verinice 1.12 gehört der erweiterte GSTOOL-Import. So werden ab sofort auch benutzerdefinierte Einträge aus dem GSTOOL nach verinice übertragen. Zur Demonstration steht auch ein Screencast im verinice-YouTube-Kanal bereit.

Mit verinice 1.12 steht Anwendern außerdem erstmals die "Greenbone-GSM Perspektive" zur Verfügung. Diese ermöglicht einen einfachen Einstieg in das Schwachstellen-Management durch die Kopplung von verinice mit dem Schwachstellen-Scanner Greenbone GSM (OpenVAS). Zwei neue Tutorials erklären direkt in verinice Schritt-für-Schritt, wie die Ergebnisse eines Schwachstellen-Scans importiert und weiter verarbeitet werden können. Im Grundschutz erleichtert dies einige sonst sehr arbeitsaufwändige Schritte der BSI-Vorgehensweise wie die Strukturanalyse und den Basis-Sicherheits-Check. Auch beim Arbeiten mit einem IS-Managementsystem nach ISO 27001 können die mit einem Scan gefundenen Systeme und Schwachstellen bei der Risikoanalyse genutzt werden.

Mit verinice.PRO eröffnen sich noch weitere Vorteile: Der Workflow hilft beim Zuweisen von Verantwortlichen und Beheben der Schwachstellen im laufenden Betrieb. Ein intelligenter Abgleich sorgt dafür, dass auch bei wiederholten Scans keine doppelten Aufgaben erzeugt werden und nur wirklich behobene Schwachstellen werden auch aus der Risikodatenbank entfernt.

Hinzu kommen zahlreiche Detailverbesserungen und Fehlerkorrekturen. Für verinice 1.12 hat das Team über 80 Vorgänge bearbeitet. Ausführlichere Informationen zu den neuen Features, weiteren Neuerungen und Detailverbesserungen enthalten die Release Notes zu verinice 1.12. Der Download ist direkt über verinice.com möglich. 


Online-Tutorial: Webcast zum GSTOOL-Import

29.10.2015

Der GSTOOL-Import ist ein gefragtes Feature in verinice: In einem Online-Tutorial stellt Alexander Koderman, Leiter des verinice-Teams, den Import vor und zeigt einen Beispielvorgang.  

Das Video finden Sie in unserem YouTube-Kanal, Direktlink: https://www.youtube.com/watch?v=vkMEFdhqifo 

Das Team plant, zusätzliche Tutorials, Quick-Tipps etc. zu verinice zur Verfügung zu stellen. U.a. steht ein zweiter Teil zum GSTOOL-Import auf der Agenda. Außerdem bestücken wir künftig eine Playlist mit externen Videos, die sich mit verinice beschäftigen. 


Webinare zu ISO 27001 und IT-Grundschutz mit verinice.PRO

28.10.2015

Ab sofort bietet das verinice.TEAM Webinare zur Umsetzung von ISO 27001 und IT-Grundschutz mit verinice.PRO an. Diese richten sich vor allem an Interesenten und Einsteiger, die einen ersten Eindruck vom ISMS-Tool in der .PRO-Variante gewinnen oder exklusive Funktionen der Serverversion kennenlernen möchten. 

Auch für bestehende Nutzer bieten die Webinare einige interessante Inhalte – sei es zu neuen Funktionen der aktuellsten Version (derzeit verinice 1.11) oder z.B. zu fortgeschrittener Bedienung (Filtern, Gehe in, Tags, Namenskonventionen, Volltextsuche), dem generischen Workflow, AD-Anbindung, Customizing und Reporting.

Termine und Anmeldungsoptionen:

Das Team setzt auf GoToWebinar von Citrix, das eine Teilnahme auch mobil mit iOS- oder Android-Geräten ermöglicht. Details zu den technischen Voraussetzungen finden Sie hier.


SerNet und verinice auf der ISSE 2015

20.10.2015

Am 10. & 11. November 2015 findet die Information Security Solutions Europe Conference (ISSE) in Berlin statt. SerNet ist mit verinice Gold Supporter und vor Ort im Hotel Palace Berlin vertreten.  

Am 11. November hält Alexander Koderman, Leiter des verinice.TEAM, außerdem einen Vortrag mit dem Titel "1001 Vulnerabilities: removing the breeding ground for cyber threats". Mehr zum Inhalt in den Session Details.  

Schauen Sie gerne auf ein Gespräch an unserem Ausstellerstand vorbei. Unter http://www.isse.eu.com/ können Sie beim Ticketkauf den 20%-Rabattcode "ISSE15SP" einlösen.


verinice erzielt Bestwerte in Studie zu ISMS-Tools

06.10.2015

Unter dem Titel "GSTOOL Quo Vadis?" hat CSC (Cybersecurity Consulting Germany) eine Studie veröffentlicht, die acht Werkzeuge für das Management von Informationssicherheit untersucht. Sehr gut abgeschnitten hat dabei verinice – das einzige OpenSource-Tool im Test. Ziel von CSC war es, den Markt nach einer GSTOOL-Alternative abzuklopfen und so einen möglichen Nachfolger zu identifizieren.

Bewertet wurden die Tools anhand von sieben Kategorien (Systemvoraussetzungen, Umsetzung der BSI IT-Grundschutz Standards, Umsetzung ISO 27001, Risikoanalyse, ISMS Managementprozesse & Workflows, Reporting, Benutzbarkeit). verinice konnte in all diesen Punkten gute bis sehr gute Ergebnisse erzielen. Besonders hervor gehoben wurde zudem die Konnektivität zum GSTOOL für Import/Export, die Integration von OpenVAS / Greenbone GSM für ein Schwachstellen-Management und die Möglichkeit, auch offline zu arbeiten. Auch die intuitive Benutzerführung stellt die Studie mehrmals heraus – unterstützt wird der einfache Zugang zu verinice noch durch das 160 Seiten starke Handbuch, das mit jeder neuen Version angepasst wird.

verinice 1.11 bringt bereits neue Funktionen und Verbesserungen 

Erfreut über die durchweg positive Betrachtung von verinice zeigt sich Alexander Koderman, Leiter des verinice-Teams bei der SerNet GmbH. "Gegenüber dem in der Studie getesteten verinice 1.9 haben wir in der aktuellen Version 1.11 natürlich nochmals neue Funktionen wie die Volltextsuche und einige Verbesserungen nachgelegt", fügt er an. Das Entwicklerteam habe z.B. viel Aufwand in die Optimierung des GSTOOL-Imports investiert. Koderman: "Wir wissen, dass Nutzer jetzt mit der schwierigen Situation des GSTOOL-Endes konfrontiert sind. verinice soll einen ressourcenschonenden Umstieg ermöglichen; der bereits investierte Aufwand in die Modellierung und Verwaltung komplexer IT-Verbünde soll nicht verloren gehen." Die Performance sowie die möglichst lückenlose Übernahme des Datenbestands aus den letzten GSTOOL-Versionen bzw. den Ergänzungslieferungen wurden entsprechend überarbeitet. Mit Erfolg: Gerade sei bei einem Kunden, der aus Performancegründen vier Datenbanken getrennt im GSTOOL betrieben habe, der Datenbestand importiert und in einer verinice-Datenbank vereint worden. 

Systemandorderungen individuell bestimmen

Einzig die Einstufung von verinice als 'ressourcenintensiv' sieht Koderman kritisch und stellt klar: "Die von uns u.a. auf der Webseite angegebenen Systemanforderungen sind ausreichend dimensioniert, um auch große Informationsverbünde abbilden zu können. In kleineren Umgebungen kann der Speicherbedarf je nach Bedarf reduziert werden." Das spiegle sich auch im breiten Nutzerspektrum von verinice.PRO wider: Dieses werde von kleinen Kommunen am Einzelarbeitsplatz bis hin zu weltweit tätigen Unternehmen mit mehreren hundert Benutzern im Follow-the-Sun-Betrieb eingesetzt. Außerdem weist Koderman darauf hin, dass verinice im Vergleich zu anderen Tools keine zusätzliche Software neben dem Betriebssystem brauche: "MS-Access-Lizenzen wie auch MS-SQL-Server sind nicht nötig." Das vermeide nicht nur Kosten sondern führe auch zu besserer Performance.

Ausblick: Versionierung ab 2016

In Aussicht stellt Koderman die vollständige Versionierung von Objekten mit entsprechenden Funktionen (Reports über Zeitachse, Snapshot-Funktion etc.). Diese sei bereits in die verinice-Roadmap aufgenommen und werde voraussichtlich Anfang 2016 – beginnend mit einem einstufigen Roll-Back von Änderungen – in neue verinice-Versionen implementiert. 

Für die Studie "GSTOOL Quo Vadis?" hat ein Team der CSC Cybersecurity Consulting in Deutschland die ISMS-Werkzeuge von acht Herstellern analysiert. Alle Hersteller, so auch die SerNet GmbH für verinice, haben dafür Fragenkataloge mit den wichtigsten Anforderungen beantwor­tet. Diese wurden mit den Ergebnissen eines Anwendungstest kombiniert. Die vollständige Studie kann hier angefordert werden: http://www.csc.com/de/insights/133725-csc_cybersecurity_studie_gstool_quo_vadis 


verinice im Einsatz: Generalsekretariat des Rates der Europäischen Union

10.09.2015

Das verinice.TEAM freut sich, das Generalsekretariat des Rates der Europäischen Union (Ratssekretariat) unter den aktiven und intensiven verinice-Nutzern begrüßen zu können. Das Ratssekretariat unterstützt den Europäischen Rat und den Rat der EU. Auch verinice trägt nun zu dieser Aufgabe bei.

verinice erfreut sich als praxiserprobtes Werkzeug für das Management eines Informationssicherheitsystems großer Beliebtheit. Zu den Nutzern zählen immer mehr Unternehmen, Institutionen sowie Behörden auf Kommunal-, Landes- und Bundesebene. Das verinice.TEAM freut sich, dass sich mit dem Ratssekretariat der  Nutzerkreis auch auf der europäischen Ebene erweitert.


Update auf verinice 1.11.1

09.09.2015

verinice 1.11 hat ein schnelles Update bekommen: Mit verinice 1.11.1 behebt das verinice.TEAM zwei kleinere Fehler. Mit dem Update starten verinice-Clients nun korrekt auf Englisch, wenn sie auf nicht deutschsprachigen Betriebssystemen installiert sind. Außerdem können in der Grundschutz-Perspektive bei einer Risikoanalysen nun eigene Maßnahmen mit Beschreibungen angelegt werden, die länger sind als 255 Zeichen.

Die Download-Seite ist bereits auf die aktuelle Version 1.11.1 angepasst; verinice- und verinice.PRO-Nutzer werden automatisch auf die neue Version hingewiesen. 


verinice 1.11 veröffentlicht

28.08.2015

Das verinice.TEAM hat Version 1.11 des ISMS-Werkzeugs veröffentlicht. Zu den maßgeblichen Neuerungen gehören die Implementierung des Elasticsearch-Frameworks, das nun eine Volltextsuche in verinice ermöglicht, sowie erhebliche Verbesserungen am GSTOOL-Import. Der Download ist manuell möglich; verinice- und verinice.PRO-Nutzer werden automatisch auf die neue Version hingewiesen.  

Mit Version 1.11 erhalten verinice und verinice.PRO eine Suchfunktion, mit der Objekte schnell aufzufinden sind. Zum Einsatz kommt dafür das OpenSource-Framework Elasticsearch, das u.a. auch von Wikimedia genutzt wird. Suchergebnisse können außerdem als CSV-Datei exportiert werden. 

Am GSTOOL-Import hat das verinice.TEAM für dieses Release umfangreiche Verbesserungen vorgenommen, so dass auch aus den letzten verfügbaren Versionen des GSTOOL bzw. der Ergänzungslieferungen alle Informationsverbünde übernommen werden können. U.a. wurden Geschwindigkeit sowie Speicherverbrauch und damit die Unterstützung für große GSTOOL-Datenbanken optimiert. Mit verinice wurden bereits einige der größten GSTOOL-Datenbanken Deutschlands mit jeweils Hunderten von Informationsverbünden importiert - verinice übernimmt auch solche mit Größen von 1 Gigabyte und mehr nun "in einem Rutsch". 

 Ab Version 1.11 kann verinice außerdem die sogenannten "Ergänzenden Sicherheitsanalysen" und Risikoanalysen nach BSI 100-3 aus dem GSTOOL übernehmen. Maßnahmen und Gefährdungen werden übertragen, Zwischenschritte werden korrekt im verinice-Wizard für Risikoanalysen nach BSI 100-3 dargestellt. Dadurch kann jeder einzelne Schritt der importierten Risikoanalyse später nachvollzogen und auch jederzeit erneut bearbeitet werden: von der Gefährdungsübersicht über die Gefährdungsbewertung bis hin zur Risikobehandlung. 

Ausführliche Informationen zu den neuen Features, weiteren Neuerungen und Detailverbesserungen enthalten die Release Notes zu verinice 1.11: Bitte beachten Sie vor allem die Auflistung geänderter Konfigurationsdateien unter dem Punkt "Hinweise zum Update".


English languageDeutsche Sprache
© SerNet GmbH, 2017