Neuigkeiten rund um verinice.

Die von unseren Anwenderinnen und Anwendern gewünschte schnelle Implementierung des Modernisierten Grundschutzes hat ein weiteres Update unserer jüngsten verinice-Version 1.17 auf eine neue Version 1.17.2 notwendig gemacht. In unseren Release Notes haben wir die festgestellten Fehler und ihre Behebung beschrieben.

Eine neue Version für verinice-Client und den Server verinice.PRO 1.17.2 mit entsprechender Lösung wurde bereits veröffentlicht und steht zum Download im Shop der Einzelplatzversion und im .PRO-Repository zur Verfügung.

Das Update sollte von Anwenderinnen und Anwendern des Modernisierten Grundschutzes installiert werden.

Das verinice.TEAM stellt das IT-Grundschutz-Kompendium 6.0 Edition 2019, vom BSI veröffentlicht am 4. Februar 2019, für alle Anwenderinnen und Anwender des Modernisierten IT-Grundschutz in verinice zur Verfügung.

Die Edition 2019 ersetzt die vorläufige im Status “Final Draft” veröffentlichte Version des BSI.

Die neue Version steht zum Download auf der verinice-Homepage und für verinice.PRO Kunden im Update-Repository zur Verfügung.

Gerne können Sie im verinice.FORUM zu diesem Thema weiter diskutieren.

verinice wird ab Version 1.18 mit einer Java Runtime Environment (JRE) der Initiative AdoptOpenJDKausgeliefert. AdoptOpenJDK erstellt JRE, die alle Security-Patches enthalten und kostenlos genutzt werden dürfen. Für verinice-AnwenderInnen ändert sich nichts: verinice wird auch weiterhin eine aktuelle JRE enthalten und die Installation damit möglichst einfach gehalten.

Bisher (inkl. Version 1.17.x) enthielt verinice eine JRE, die von Oracle kostenlos veröffentlicht wurde. Oracle hat jedoch 2018 den Java-Releasezyklus und die Lizenz für die JRE geändert, so dass es ab dem Jahr 2019 nicht mehr möglich ist, verinice mit der JRE von Oracle auszuliefern.

Weitere Details und Hintergründe erfahren Sie im verinice.FORUM.

Die Agenda für die diesjährige verinice.XP ist online: SerNet veranstaltet die Konferenz für Anwenderinnen und Anwender am 27. und 28. Februar 2019 in Berlin (Radisson Blu Hotel, Karl-Liebknecht-Strasse 3, 10178 Berlin). Das Programm setzt in diesem Jahr vor allem auf Praxisbeispiele, die von der kommunalen Behörde über den Energieversorger bis hin zu Krankenhaus und Flughafenbetreiber verschiedene Herangehensweisen an die Umsetzung von Informationssicherheit zeigen.

In ihrer Keynote berichten beispielsweise Karsten Pirschel (ITDZ Berlin) und Inna Maliucova
(Cassini Consulting) über den Migrationsweg zum neuen IT-Grundschutz. Das ITDZ Berlin, IT-Dienstleister des Landes Berlin, hat erst kürzlich das erste Zertifikat auf Basis des neuen IT-Grundschutz-Kompendiums erhalten. Wie verinice bei der Umsetzung des Modernisierten BSI IT-Grundschutz bei kritischen Infrastrukturen hilft, zeigen Ulf Riechen (Riechen Consulting GmbH) und Michael Römling (CISO der Charité Universitätsmedizin Berlin) am Beispiel der Charité Universitätsmedizin Berlin auf.

"verinice als Werkzeugkoffer im ISMS" stellen Ingmar Petereins und Johannes Stoye (beide Flughafen Berlin Brandenburg GmbH) vor. Aber auch, wie sich ein ISMS in einem Landratsamt oder bei KMU etablieren lässt, steht auf dem Programm – ebenso wie die Arbeit mit Branchenstandards und der DSGVO.

Auch verinice-Kooperationspartner kommen zu Wort: In einer live Tech-Show zeigen Dirk Schrader und Emanuel Moß (beide Greenbone Networks) “Die Kopplung zwischen Greenbone und verinice“. Rico Barth (c.a.p.e. IT GmbH) erzählt, "Wie in der Praxis IT-Service Management und Security Management mit KIX und verinice zusammenrücken".  

Bei einem Social Event am Abend des 27. Januar können Teilnehmerinnen und Teilnehmer miteinander, mit den Referenteinnen und Referenten sowie dem verinice-TEAM ins Gespräch kommen. Die Teilnahme an der zweitägigen verinice.XP 2019 kostet 290 Euro. Die vollständige Agenda und Tickets gibt es unter verinicexp.org.  

Am Vortag der Konferenz, dem 26. Februar 2019, ist zusätzlich ein Workshop-Tag angesetzt. Das detaillierte Kursprogramm für "ISO 27001 / EU-DSGVO" bzw. "Modernisierter IT-Grundschutz / EU-DSGVO" ist ebenfalls online. Die Teilnahme an einem Kurs ist unabhängig von der verinice.XP möglich. Die Kosten betragen 450 Euro. Die noch wenigen Plätze können ebenfalls unter verinicexp.org gebucht werden.  
 

Mit der "ModPlast GmbH" stellt das verinice.TEAM eine Beispieldatenbank für den Modernisierten IT-Grundschutz bereit. Der Informationsverbund für das fiktive Unternehmen zeigt auf, wie eine Modellierung aussehen könnte und erleichtert damit den Ein- in und den Umstieg auf den Modernisierten Grundschutz. Die entsprechende .vna-Datei ist im Downloadbereich verfügbar.

Die ModPlast-Datenbank wurde vom verinice.TEAM auf Grundlage der RecPlast GmbH (Beispielorganisation des BSI für den "alten" IT-Grundschutz) in der modernisierten Grundschutz-Perspektive in verinice modelliert. Die Beispieldatenbank enthält Zielobjekte nach BSI-Standard 200-2 (Hinweis: ohne Schutzbedarfsfeststellung auf den Prozessen, dementsprechend keine Ableitung auf andere Zielobjekte). Für alle Bedrohungen sind Eintrittswahrscheinlichkeit sowie Auswirkung und dadurch auch alle Risikowerte gesetzt.

Sie erhalten mit der "ModPlast GmbH" – modelliert auf Basis der Edition 2018 des IT-Grundschutz-Kompendiums – einen guten ersten Einblick in die Vorgehensweise.

Diskutieren Sie die "ModPlast GmbH" gerne in unserem verinice.FORUM weiter.

Das neue verinice.FORUM ist live – und markiert den Auftakt für die verinice.COMMUNITY. Langfristiges Ziel ist es, einen aktiven Dialog zwischen AnwenderInnen untereinander zu fördern, begleitet von den verinice-PartnerInnen und dem verinice.TEAM.

Hier die wichtigsten Eckpunkte zur Einführung:

• Als zentrale Anlaufstelle für den Austausch mit anderen verinice-NutzerInnen, den verinice-PartnerInnen und dem verinice.TEAM, haben wir mit Discourse eine benutzerfreundliche Grundlage gewählt. Das neue Forum können Sie jetzt sogar ganz einfach auf Ihren Mobilgeräten nutzen.

• In der Kategorie Roadmap möchten wir mit Ihnen die künftige Entwicklung von verinice diskutieren. Hier sehen Sie, was wir für das nächste Release planen. Außerdem können Sie Feature-Requests einbringen, die wir prüfen und ggf. zur Diskussion mit der Community stellen werden.

• Wir haben eine Knowledge Baseöffentlich zugänglich gemacht, um Ihnen eine Sammlung von Lösungen bereit zu stellen, die den Umgang mit verinice erleichtern.

• Die Forensuche ist sehr elaboriert. Nutzen Sie diese, um Beiträge zu finden, die Ihnen helfen oder die Sie noch um Informationen ergänzen können.

• Nichts ist in Stein gemeißelt: Das Forum wird sich im Laufe der Zeit noch ändern und wir werden immer wieder fragen, was wir besser machen können. Wenn Sie dazu Anregungen haben, sind diese sehr willkommen.

Bitte haben Sie Verständnis dafür, dass Beiträge und NutzerInnen-Profile aus dem alten Forum nicht migriert wurden. Das hängt vor allem mit der völlig neuen technologischen Basis zusammen. Aber auch damit, dass wir ein gänzlich neues Konzept einführen und pflegen wollen. Um sich an den Diskussionen zu beteiligen, müssen Sie sich einen neuen Account anlegen. Sollte Ihre Frage im alten Forum noch nicht beantwortet worden sein, bitten wir um Entschuldigung – stellen Sie diese gerne noch einmal neu ein, wir kümmern uns darum!

Jeder Community-Start ist natürlich erstmal nur ein Vorhaben, das mit Leben gefüllt werden muss. Wir würden uns freuen, wenn Sie sich aktiv daran beteiligen.

Wir möchten die größtmögliche Anzahl an Beitragenden mit den vielfältigsten und unterschiedlichsten Hintergründen einbeziehen. Wir sehen es als unsere Aufgabe, eine freundliche, sichere und einladende Umgebung zu schaffen für den Austausch unter den NutzerInnen von verinice. Machen Sie mit!

Erstellen Sie sich jetzt einen Account im neuen Forum und werden Sie ein aktives Mitglied der verinice.COMMUNITY.

Das verinice.TEAM hat im kürzlichen veröffentlichten verinice.PRO 1.17 ein Problem identifiziert und behoben: Beim Mailversand für nicht abgeschlossene  Aufgaben wurden statt einer Erinnerungsmail alle 7 Tage innerhalb kurzer Zeit sehr viele Mails verschickt. Betroffen sind ausschließlich verinice-Server. Eine neue Version verinice.PRO 1.17.1 mit entsprechender Lösung wurde bereits veröffentlicht und steht im .PRO-Repository zur Verfügung.

verinice-Entwicklungsleiter Daniel Murygin: "Wir konnten hier schnell reagieren und einen entsprechenden Hotfix veröffentlichen. Unser Support, an den das Verhalten gemeldet wurde, und die Entwicklung haben eng und effizient zusammengearbeitet."

Da der Fehler nur verinice-Server betrifft, gibt es keine neue Client-Version oder Updates für die Clients (verinice Einzelplatzversion).

Das verinice.TEAM hat neue Versionen der Edition 2018 und der Edition 2019 des IT-Grundschutz-Kompendiums des BSI für die Nutzung in verinice veröffentlicht: Das "IT-Grundschutz-Kompendium 3.1 Edition 2018" sowie das "IT-Grundschutz-Kompendium 5.1 Edition 2019 Draft Oktober 2018". Beide sind kompatibel mit verinice 1.16 oder höher. Wir empfehlen jedoch die Nutzung mit dem gerade erschienen verinice 1.17. Die Kompendien sind im <link internal-link>Downloadbereich auf dieser Webseite bzw. im verinice.Pro-Repository verfügbar.

Das IT-Grundschutz-Kompendium in der Edition 2018 dient laut BSI derzeit als offizielle Grundlage für Zertifizierungen. Für Details besuchen Sie bitte auch die Webseite des BSI zum <link https: www.bsi.bund.de de themen itgrundschutz itgrundschutzkompendium itgrundschutzkompendium_node.html external-link-new-window zum it-grundschutz-kompendium edition>IT-Grundschutz-Kompendium – Edition 2018.

Das "IT-Grundschutz-Kompendium 5.1 Edition 2019 Draft Oktober 2018" enthält die aktuell vorliegenden, vom BSI veröffentlichten Final Drafts der Bausteine der Edition 2019. Diese Version beinhaltet die vorhergehende Version "IT-Grundschutz-Kompendium 3.1 Edition 2018" inklusive aller Änderungen/Neuerungen gegenüber der Edition 2018 zum Stand 08.10.2018. Um den verinice-AnwenderInnen Hilfestellung zu geben, haben wir darauf Wert gelegt, dass

• alle Änderungen nachvollziehbar eingepflegt sind
• alle neuen Bausteinen/Umsetzungshinweise gekennzeichnet sind, ggfs. auch als "Final Draft".

Bitte beachten Sie, dass die vorläufige Version der Edition 2019 laut BSI noch nicht zertifizierungsfähig ist: "Das IT-Grundschutz-Kompendium der Edition 2019 wird offiziell zum 01.02.2019 veröffentlicht. Für Zertifizierungen gilt bis zu diesem Datum weiterhin die bestehende Edition 2018 des IT-Grundschutz-Kompendiums." (<link https: www.bsi.bund.de de themen itgrundschutz itgrundschutzdownloads itgrundschutzdownloads_node.html _blank external-link-new-window des bsi zum>Informations-Seite des BSI)

Das verinice.TEAM empfiehlt allen AnwenderInnen des IT-Grundschutz-Kompendiums,

• die vor dem 1. Februar 2019 zertifizieren wollen bzw. müssen: Ausschließlich die Edition 2018 zu verwenden.
• die nicht bzw. nach dem 1. Februar 2019 zertifzieren wollen bzw. müssen: Die Edition 2019 in der vorliegenden Final Draft Version des BSI zu verwenden. Bitte bedenken Sie, dass mit Erscheinen der endgültigen Edition 2019, voraussichtlich am 1. Februar 2019, durch nicht voraussehbare Änderungen seitens des BSI zusätzlicher Aufwand entstehen kann.

In Grenzfällen bzw. bei Unklarheiten hinsichtlich der Zertifizierungsgrundlage sollten AnwenderInnen den direkten Dialog mit dem BSI suchen.

Dem BSI entsprechend sollten für Zielobjekte, für die es im IT-Grundschutz-Kompendium noch keine Bausteine gibt, zwischenzeitlich die bestehenden Bausteine der IT-Grundschutz-Kataloge genutzt werden. Für diese sog. Hybride Modellierung stellen wir Ihnen in Kürze die "IT-Grundschutzkataloge EL 15 zum Einsatz im Modernisierten IT-Grundschutz" zur Verfügung.

SerNet hat Version 1.17 des OpenSource-ISMS-Tools verinice veröffentlicht. Das verinice.TEAM legt ein umfangreiches Update vor, das vor allem für das Arbeiten mit dem Modernisierten IT-Grundschutz des BSI  einschlägig ist: Eine optimierte Modellierung sowie die Möglichkeit zur vorläufigen hybriden Modellierung sind entscheidende Neuerungen. Alle Details mit umfangreichen Screenshots finden Sie in den <link internal-link>Release Notes. Die neue Version ist im <link https: shop.verinice.com software _blank external-link-new-window im>verinice.SHOP (für Einzelplatz-NutzerInnen) oder im verinice.PRO-Repository erhältlich.

Verbesserungen im Modernisierten IT-Grundschutz

Vorausgegangen sind der Veröffentlichung von verinice 1.17 Monate intensiver Zusammenarbeit mit den verinice-PartnerInnen sowie Alpha-TesterInnen. Product Owner Michael Flürenbrock: "Das Team möchte sich nochmals ausdrücklich für den Austausch bedanken. Nur so konnten wir die neue Version auf das jetzt veröffentlichte Niveau bringen und mit dem fachlich wertvollen Input aus der täglichen Praxis anreichern." Dies zeigt sich u.a. in der optimierten Modellierung: verinice 1.17 unterstützt nun die mehrfache Modellierung von Bausteinen für unterschiedliche Zielobjekte. Ab sofort werden auch alle Baustein-Anforderungen für die Basis- und Standardabsicherung sowie für den erhöhten Schutzbedarf und alle zugehörigen Umsetzungshinweise modelliert.

Zusätzlich können die Anforderungen bzw. Maßnahmen entsprechend der für den Informationsverbund festgelegten Vorgehensweise der Absicherung gefiltert werden. Das ermöglicht es für AnwenderInnen, dass z.B. nach erfolgreicher Basisabsicherung eines Informationsverbundes relativ einfach und übersichtlich auf die Standardabsicherung umgestellt werden kann.

Der Umstieg auf die neue Modellierung erfolgt automatisch: Beim ersten Start von verinice 1.17 wird jede bisherige Modellierung im Modernisierten IT-Grundschutz migriert.

Hybride Modellierung

Für eine hybride Modellierung – wie <link https: www.bsi.bund.de de themen itgrundschutz itgrundschutzkompendium umsetzungshinweise umsetzungshinweise_node.html _blank external-link-new-window zum>vom BSI derzeit empfohlen –, können AnwenderInnen mit den bereits im IT-Grundschutz-Kompendium verfügbaren Bausteinen arbeiten und die noch fehlenden aus den Grundschutzkatalogen ergänzen. Dies unterstützt das verinice.TEAM mit der Veröffentlichung eines Katalogs, der alle im neuen IT-Grundschutz-Kompendium noch nicht verfügbaren Bausteine aus der 15. Ergänzungslieferung (15. EL) der IT-Grundschutz-Kataloge enthält. Die Bausteine der 15. EL können so im Modernisierten IT-Grundschutz per Drag&Drop direkt modelliert werden, Anforderungen werden aus den Maßnahmen der 15. EL generiert und können ggfs. angepasst werden. Maßnahmen stehen als Umsetzungshinweise zur Verfügung und die Gefährdungen der IT-Grundschutz-Kataloge werden als zusätzliche Gefährdungen modelliert. Der Zusatzinhalt ist in den <link internal-link>Downloads verfügbar.

Weitere Neuerungen in verinice 1.17 machen das Arbeiten mit dem ISMS-Tool nochmals übersichtlicher und komfortabler. So ermöglicht z.B. der neue Filter im View Modernisierter IT-Grundschutz die Suche nach Umsetzungsstatus und Sicherheitsstufe für Anforderungen und Maßnahmen. Außerdem lassen sich für jedes Zielobjekt über das Kontextmenü (rechter Mausklick) direkt benutzerdefinierte Bausteine, Maßnahmen und Gefährdungen anlegen. Ein ebenfalls heiß ersehntes neues Feature: Report-Abfragen können nun Verknüpfungen in anderen Scopes folgen, um Daten von dort mit auszugeben.

Hinweise zum Update

Zwei wichtige Hinweise für verinice-AnwenderInnen kommen mit dem Update:

1. Automatische Updates des Clients sind für verinice 1.17 nicht möglich! Wir haben Ihnen alle nötigen Informationen zum manuellen Update in einem <link internal-link>HowTo zusammengestellt. Für das Update des verinice.PRO-Servers auf die Version 1.17 benutzen Sie bitte wie üblich den Paket-Manager "yum" (<link support pro-update>Details zum verinice.PRO-Update).
2. Beim ersten Start von verinice 1.17 wird jede bisherige Modellierung im Modernisierten IT-Grundschutz auf die neue Modellierung migriert. Bitte erstellen Sie deshalb vor jeder neuen Installation bzw. jedem ersten Start von verinice 1.17 ein Backup all Ihrer Informationsverbünde.

Die nächste verinice.XP findet am 27. und 28. Februar 2019 in Berlin statt. Im Radisson Blu Hotel (Karl-Liebknecht-Strasse 3, 10178 Berlin) versammeln sich dann IT-EntscheiderInnen, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden. Tickets sind ab sofort unter https://verinicexp.org erhältlich, der Call for Papers läuft.

verinice ist eines der weit verbreitesten Werkzeuge zur Unterstützung des Informationssicherheits-Management (ISMS-Tool). Mit der verinice.XP bringt die SerNet GmbH als Veranstalterin und Herausgeberin von verinice AnwenderInnen - und solche die es werden wollen - aus allen Branchen zusammen. Wie auch auf vorhergehenden Konferenzen, sollen wieder aktuelle Themen aus dem Bereich IT-Sicherheit und Datenschutz auf die Agenda rücken. Tickets zum Early-Bird-Preis (240 Euro) sind noch bis zum 14. Dezember erhältlich.

Call for Papers gestartet

Das Orga-Team der verinice.XP freut sich über Themenvorschläge und konkrete Vortragseinreichungen. Vor allem die Themen IT-Sicherheit und Datenschutz sowie ihre Umsetzung mit verinice im Allgemeinen sind gefragt. Konkret kann sich dies in Auseinandersetzungen mit dem Modernisierten IT-Grundschutz, der ISO 2700x, PCI DSS, ISIS 12, speziellen Branchenstandards etc. ausgestalten. Über die eingereichten Beiträge entscheidet ein Programmkomitee. Diesem gehören an:

• Volker Jacumeit (DIN e.V.),
• Alexander Koderman (DKB),
• Boban Kršić (CISO DENIC eG),
• Isabel Münch (BSI) und
• Jens Syckor (TU Dresden).

Vortragsvorschläge gehen per E-Mail an cfp@verinicexp.org oder können direkt unter https://verinicexp.org eingereicht werden.

Tickets und Programm

Tickets sind ab sofort unter https://verinicexp.org erhältlich. Zusätzlich zum Tagesprogramm können TeilnehmerInnen der verinice.XP auch am Social Event teilnehmen. Dieses findet am Abend des 27. Februar statt und soll den Austausch der AnwenderInnen untereinander fördern. Der Veranstaltungsort wird noch bekannt gegeben.
Das Programm für die verinice.XP wird Ende 2018 veröffentlicht. Neben den Vorträgen wird es auch wieder Möglichkeiten geben, um mit dem verinice.TEAM ins Gespräch zu kommen und sich über die weitere Entwicklung von verinice zu informieren.

Workshops

Am 26. Februar veranstaltet SerNet außerdem Workshops zu den Themen "ISO 27001 / EU-DSGVO" und "Modernisierter IT-Grundschutz / EU-DSGVO". Die Teilnahme daran ist unabhängig von der verinice.XP möglich. Die Kosten betragen 450 Euro. Die detaillierte Agenda für die beiden Kurse wird noch veröffentlicht.

Weitere Informationen unter verinicexp.org.