Unter dem Titel "GSTOOL Quo Vadis?" hat CSC (Cybersecurity Consulting Germany) eine Studie veröffentlicht, die acht Werkzeuge für das Management von Informationssicherheit untersucht. Sehr gut abgeschnitten hat dabei verinice – das einzige OpenSource-Tool im Test. Ziel von CSC war es, den Markt nach einer GSTOOL-Alternative abzuklopfen und so einen möglichen Nachfolger zu identifizieren.
Bewertet wurden die Tools anhand von sieben Kategorien (Systemvoraussetzungen, Umsetzung der BSI IT-Grundschutz Standards, Umsetzung ISO 27001, Risikoanalyse, ISMS Managementprozesse & Workflows, Reporting, Benutzbarkeit). verinice konnte in all diesen Punkten gute bis sehr gute Ergebnisse erzielen. Besonders hervor gehoben wurde zudem die Konnektivität zum GSTOOL für Import/Export, die Integration von OpenVAS / Greenbone GSM für ein Schwachstellen-Management und die Möglichkeit, auch offline zu arbeiten. Auch die intuitive Benutzerführung stellt die Studie mehrmals heraus – unterstützt wird der einfache Zugang zu verinice noch durch das 160 Seiten starke Handbuch, das mit jeder neuen Version angepasst wird.
verinice 1.11 bringt bereits neue Funktionen und Verbesserungen
Erfreut über die durchweg positive Betrachtung von verinice zeigt sich Alexander Koderman, Leiter des verinice-Teams bei der SerNet GmbH. "Gegenüber dem in der Studie getesteten verinice 1.9 haben wir in der aktuellen Version 1.11 natürlich nochmals neue Funktionen wie die Volltextsuche und einige Verbesserungen nachgelegt", fügt er an. Das Entwicklerteam habe z.B. viel Aufwand in die Optimierung des GSTOOL-Imports investiert. Koderman: "Wir wissen, dass Nutzer jetzt mit der schwierigen Situation des GSTOOL-Endes konfrontiert sind. verinice soll einen ressourcenschonenden Umstieg ermöglichen; der bereits investierte Aufwand in die Modellierung und Verwaltung komplexer IT-Verbünde soll nicht verloren gehen." Die Performance sowie die möglichst lückenlose Übernahme des Datenbestands aus den letzten GSTOOL-Versionen bzw. den Ergänzungslieferungen wurden entsprechend überarbeitet. Mit Erfolg: Gerade sei bei einem Kunden, der aus Performancegründen vier Datenbanken getrennt im GSTOOL betrieben habe, der Datenbestand importiert und in einer verinice-Datenbank vereint worden.
Systemandorderungen individuell bestimmen
Einzig die Einstufung von verinice als 'ressourcenintensiv' sieht Koderman kritisch und stellt klar: "Die von uns u.a. auf der Webseite angegebenen Systemanforderungen sind ausreichend dimensioniert, um auch große Informationsverbünde abbilden zu können. In kleineren Umgebungen kann der Speicherbedarf je nach Bedarf reduziert werden." Das spiegle sich auch im breiten Nutzerspektrum von verinice.PRO wider: Dieses werde von kleinen Kommunen am Einzelarbeitsplatz bis hin zu weltweit tätigen Unternehmen mit mehreren hundert Benutzern im Follow-the-Sun-Betrieb eingesetzt. Außerdem weist Koderman darauf hin, dass verinice im Vergleich zu anderen Tools keine zusätzliche Software neben dem Betriebssystem brauche: "MS-Access-Lizenzen wie auch MS-SQL-Server sind nicht nötig." Das vermeide nicht nur Kosten sondern führe auch zu besserer Performance.
Ausblick: Versionierung ab 2016
In Aussicht stellt Koderman die vollständige Versionierung von Objekten mit entsprechenden Funktionen (Reports über Zeitachse, Snapshot-Funktion etc.). Diese sei bereits in die verinice-Roadmap aufgenommen und werde voraussichtlich Anfang 2016 – beginnend mit einem einstufigen Roll-Back von Änderungen – in neue verinice-Versionen implementiert.
Für die Studie "GSTOOL Quo Vadis?" hat ein Team der CSC Cybersecurity Consulting in Deutschland die ISMS-Werkzeuge von acht Herstellern analysiert. Alle Hersteller, so auch die SerNet GmbH für verinice, haben dafür Fragenkataloge mit den wichtigsten Anforderungen beantwortet. Diese wurden mit den Ergebnissen eines Anwendungstest kombiniert. Die vollständige Studie kann hier angefordert werden: <link http: www.csc.com de insights _blank gstool quo>www.csc.com/de/insights/133725-csc_cybersecurity_studie_gstool_quo_vadis