Neuigkeiten rund um verinice.

Erfahren Sie alles, was wichtig ist

Am 10. & 11. November 2015 findet die Information Security Solutions Europe Conference (ISSE) in Berlin statt. SerNet ist mit verinice <link http: www.isse.eu.com isse-supporters-include _blank isse-supporter>Gold Supporter und vor Ort im Hotel Palace Berlin vertreten.  

Am 11. November hält Alexander Koderman, Leiter des verinice.TEAM, außerdem einen Vortrag mit dem Titel "1001 Vulnerabilities: removing the breeding ground for cyber threats". Mehr zum Inhalt in den <link http: www.isse.eu.com speakers alexander-koderman _blank vulnerabilities: removing the breeding ground for cyber>Session Details.  

Schauen Sie gerne auf ein Gespräch an unserem Ausstellerstand vorbei. Unter <link http: www.isse.eu.com _blank der>

www.isse.eu.com

können Sie beim Ticketkauf den 20%-Rabattcode "ISSE15SP" einlösen.

Unter dem Titel "GSTOOL Quo Vadis?" hat CSC (Cybersecurity Consulting Germany) eine Studie veröffentlicht, die acht Werkzeuge für das Management von Informationssicherheit untersucht. Sehr gut abgeschnitten hat dabei verinice – das einzige OpenSource-Tool im Test. Ziel von CSC war es, den Markt nach einer GSTOOL-Alternative abzuklopfen und so einen möglichen Nachfolger zu identifizieren.

Bewertet wurden die Tools anhand von sieben Kategorien (Systemvoraussetzungen, Umsetzung der BSI IT-Grundschutz Standards, Umsetzung ISO 27001, Risikoanalyse, ISMS Managementprozesse & Workflows, Reporting, Benutzbarkeit). verinice konnte in all diesen Punkten gute bis sehr gute Ergebnisse erzielen. Besonders hervor gehoben wurde zudem die Konnektivität zum GSTOOL für Import/Export, die Integration von OpenVAS / Greenbone GSM für ein Schwachstellen-Management und die Möglichkeit, auch offline zu arbeiten. Auch die intuitive Benutzerführung stellt die Studie mehrmals heraus – unterstützt wird der einfache Zugang zu verinice noch durch das 160 Seiten starke Handbuch, das mit jeder neuen Version angepasst wird.

verinice 1.11 bringt bereits neue Funktionen und Verbesserungen 

Erfreut über die durchweg positive Betrachtung von verinice zeigt sich Alexander Koderman, Leiter des verinice-Teams bei der SerNet GmbH. "Gegenüber dem in der Studie getesteten verinice 1.9 haben wir in der aktuellen Version 1.11 natürlich nochmals neue Funktionen wie die Volltextsuche und einige Verbesserungen nachgelegt", fügt er an. Das Entwicklerteam habe z.B. viel Aufwand in die Optimierung des GSTOOL-Imports investiert. Koderman: "Wir wissen, dass Nutzer jetzt mit der schwierigen Situation des GSTOOL-Endes konfrontiert sind. verinice soll einen ressourcenschonenden Umstieg ermöglichen; der bereits investierte Aufwand in die Modellierung und Verwaltung komplexer IT-Verbünde soll nicht verloren gehen." Die Performance sowie die möglichst lückenlose Übernahme des Datenbestands aus den letzten GSTOOL-Versionen bzw. den Ergänzungslieferungen wurden entsprechend überarbeitet. Mit Erfolg: Gerade sei bei einem Kunden, der aus Performancegründen vier Datenbanken getrennt im GSTOOL betrieben habe, der Datenbestand importiert und in einer verinice-Datenbank vereint worden. 

Systemandorderungen individuell bestimmen

Einzig die Einstufung von verinice als 'ressourcenintensiv' sieht Koderman kritisch und stellt klar: "Die von uns u.a. auf der Webseite angegebenen Systemanforderungen sind ausreichend dimensioniert, um auch große Informationsverbünde abbilden zu können. In kleineren Umgebungen kann der Speicherbedarf je nach Bedarf reduziert werden." Das spiegle sich auch im breiten Nutzerspektrum von verinice.PRO wider: Dieses werde von kleinen Kommunen am Einzelarbeitsplatz bis hin zu weltweit tätigen Unternehmen mit mehreren hundert Benutzern im Follow-the-Sun-Betrieb eingesetzt. Außerdem weist Koderman darauf hin, dass verinice im Vergleich zu anderen Tools keine zusätzliche Software neben dem Betriebssystem brauche: "MS-Access-Lizenzen wie auch MS-SQL-Server sind nicht nötig." Das vermeide nicht nur Kosten sondern führe auch zu besserer Performance.

Ausblick: Versionierung ab 2016

In Aussicht stellt Koderman die vollständige Versionierung von Objekten mit entsprechenden Funktionen (Reports über Zeitachse, Snapshot-Funktion etc.). Diese sei bereits in die verinice-Roadmap aufgenommen und werde voraussichtlich Anfang 2016 – beginnend mit einem einstufigen Roll-Back von Änderungen – in neue verinice-Versionen implementiert. 

Für die Studie "GSTOOL Quo Vadis?" hat ein Team der CSC Cybersecurity Consulting in Deutschland die ISMS-Werkzeuge von acht Herstellern analysiert. Alle Hersteller, so auch die SerNet GmbH für verinice, haben dafür Fragenkataloge mit den wichtigsten Anforderungen beantwor­tet. Diese wurden mit den Ergebnissen eines Anwendungstest kombiniert. Die vollständige Studie kann hier angefordert werden: <link http: www.csc.com de insights _blank gstool quo>

www.csc.com/de/insights/133725-csc_cybersecurity_studie_gstool_quo_vadis&nbsp;


Das verinice.TEAM freut sich, das <link http: www.consilium.europa.eu de general-secretariat _blank des generalsekretariates>Generalsekretariat des Rates der Europäischen Union (Ratssekretariat) unter den aktiven und intensiven verinice-Nutzern begrüßen zu können. Das Ratssekretariat unterstützt den Europäischen Rat und den Rat der EU. Auch verinice trägt nun zu dieser Aufgabe bei.

verinice erfreut sich als praxiserprobtes Werkzeug für das Management eines Informationssicherheitsystems großer Beliebtheit. Zu den Nutzern zählen immer mehr Unternehmen, Institutionen sowie Behörden auf Kommunal-, Landes- und Bundesebene. Das verinice.TEAM freut sich, dass sich mit dem Ratssekretariat der  Nutzerkreis auch auf der europäischen Ebene erweitert.


verinice 1.11 hat ein schnelles Update bekommen: Mit verinice 1.11.1 behebt das verinice.TEAM zwei kleinere Fehler. Mit dem Update starten verinice-Clients nun korrekt auf Englisch, wenn sie auf nicht deutschsprachigen Betriebssystemen installiert sind. Außerdem können in der Grundschutz-Perspektive bei einer Risikoanalysen nun eigene Maßnahmen mit Beschreibungen angelegt werden, die länger sind als 255 Zeichen.

Die Download-Seite ist bereits auf die aktuelle Version 1.11.1 angepasst; verinice- und verinice.PRO-Nutzer werden automatisch auf die neue Version hingewiesen. 


Das verinice.TEAM hat Version 1.11 des ISMS-Werkzeugs veröffentlicht. Zu den maßgeblichen Neuerungen gehören die Implementierung des Elasticsearch-Frameworks, das nun eine Volltextsuche in verinice ermöglicht, sowie erhebliche Verbesserungen am GSTOOL-Import. Der <link internal-link verinice-download>Download ist manuell möglich; verinice- und verinice.PRO-Nutzer werden automatisch auf die neue Version hingewiesen.  

Mit Version 1.11 erhalten verinice und verinice.PRO eine Suchfunktion, mit der Objekte schnell aufzufinden sind. Zum Einsatz kommt dafür das OpenSource-Framework <link https: www.elastic.co products elasticsearch _blank external-link-new-window>Elasticsearch, das u.a. auch von Wikimedia genutzt wird. Suchergebnisse können außerdem als CSV-Datei exportiert werden. 

Am GSTOOL-Import hat das verinice.TEAM für dieses Release umfangreiche Verbesserungen vorgenommen, so dass auch aus den letzten verfügbaren Versionen des GSTOOL bzw. der Ergänzungslieferungen alle Informationsverbünde übernommen werden können. U.a. wurden Geschwindigkeit sowie Speicherverbrauch und damit die Unterstützung für große GSTOOL-Datenbanken optimiert. Mit verinice wurden bereits einige der größten GSTOOL-Datenbanken Deutschlands mit jeweils Hunderten von Informationsverbünden importiert - verinice übernimmt auch solche mit Größen von 1 Gigabyte und mehr nun "in einem Rutsch". 

 Ab Version 1.11 kann verinice außerdem die sogenannten "Ergänzenden Sicherheitsanalysen" und Risikoanalysen nach BSI 100-3 aus dem GSTOOL übernehmen. Maßnahmen und Gefährdungen werden übertragen, Zwischenschritte werden korrekt im verinice-Wizard für Risikoanalysen nach BSI 100-3 dargestellt. Dadurch kann jeder einzelne Schritt der importierten Risikoanalyse später nachvollzogen und auch jederzeit erneut bearbeitet werden: von der Gefährdungsübersicht über die Gefährdungsbewertung bis hin zur Risikobehandlung. 

Ausführliche Informationen zu den neuen Features, weiteren Neuerungen und Detailverbesserungen enthalten die Release Notes zu <link internal-link release>verinice 1.11: Bitte beachten Sie vor allem die Auflistung geänderter Konfigurationsdateien unter dem Punkt "Hinweise zum Update".


SerNet-Stand auf der it-sa 2015

Vom 6. bis zum 8. Oktober 2015 ist die <link https: www.sernet.de _blank sernet>SerNet GmbH auf der IT-Security Messe <link http: www.it-sa.de _blank der>it-sa in Nürnberg vertreten. Das verinice-Team ist in <link https: www.it-sa.de de ausstellerprodukte external-link-new-window auf der>Halle 12.0 / 12.0-339 zu finden.

Unterstützt wird SerNet in diesem Jahr von den <link internal-link verinice.partner>verinice-Partnern SILA Consulting, IT-InfoSec und Carmao sowie durch Greenbone. Gemeinsam stellen sie verinice in seiner aktuellsten Version vor und demonstrieren die Möglichkeiten des ISMS-Werkzeugs für Grundschutz, ISO 27001, VDA ISA etc. sowie spezielle Anwendungsgebiete wie das Schwachstellenmanagement in Kopplung mit dem Greenbone Security Manager. Zusätzlich informieren die Partner über Dienstleistungen wie die Konzeption, Implementierung und Optimierung eines Managementsystems für Informationssicherheit sowie Zertifizierungen und Schulungen.

Sie möchten verinice oder bestimmte Funktionen wie den GSTOOL-Import kennen lernen? Sie möchten wissen, ob verinice das richtige Tool für Sie ist? Oder uns einfach Feedback zur Software geben? Sie möchten einige verinice.PARTNER und ihr Serviceangebot kennen lernen? Dann freuen wir uns, Sie an unserem Stand begrüßen zu dürfen. Gerne vereinbaren wir auch vorab einen Gesprächstermin mit Ihnen! Senden Sie uns dazu bitte eine E-Mail an <link an>itsa@sernet.de. 

Gutschein für kostenlose Tagestickets

Auch in diesem Jahr können kostenlose Besuchertickets über SerNet bezogen werden. Besuchen Sie dazu die Seite <link http: www.it-sa.de de besucher tickets gutschein _blank für it-sa-eticket>

www.it-sa.de/gutschein/

und geben Sie den Gutschein-Code A310119 ein. Mit einem Besucherticket erhalten Sie an einem beliebigen Tag Einlass ab 9 Uhr.

Am 17. und 18. September finden die Berlin Expert Days - oder kurz: die BED-Con - an der Urania Berlin statt. Zu den Vortragenden zählt in diesem Jahr auch Sebastian Hagedorn, Entwickler im verinice.TEAM. Er steuert seinen Vortrag "Elasticsearch goes BIRT: Praxisbericht einer Zweckentfremdung" zum Programm der offene Technologie-Konferenz bei.  

Vor dem Hintergrund der verinice.PRO-Entwicklung diskutiert Hagedorn, welche Probleme, Hürden und Ergebnisse bei der Entwicklung einer Schnittstelle aufkamen. Ziel war es, BIRT zu erlauben auf Elasticsearch Daten zuzugreifen und damit die Vorteile der redundanten schemafreien Datenhaltung auszunutzen.

BIRT ist ein JAVA-Framework zur Erzeugung von Reports auf Basis beliebiger (JDBC-)Datenquellen und kommt auch für verinice zum Einsatz. Der Vortrag soll zeigen, ob und (falls ja) wie die Einbindung von Elasticsearch in eine bestehende Java-EE-Anwendung sich dazu zweckentfremden lässt, die Performance bei der Reporterzeugung zu steigern.


Für die toolgestützte Informationssicherheit steht das Jahr des Umbruchs bevor: Das GSTOOL des BSI ist ab 2016 endgültig Geschichte und alle Anwender müssen auf ein neues Werkzeug umstellen. Genau ein Nachfolger ist vollständig kostenfrei, beim BSI lizenziert und ohne Hintertüren mit öffentlich hinterlegtem Quellcode programmiert: verinice. Die <link http: www.verinicexp.org _blank external-link-new-window die anwenderkonferenz für>verinice.XP – die Anwenderkonferenz für Informationssicherheit zeigt auf, wie es mit dem Grundschutz, der Migration zum GSTOOL-Nachfolger und der Umsetzung in "UP Bund" und "UP Kritis" weiter geht.

Die verinice.XP findet am 15. und 16. September 2015 statt, Veranstalter ist die SerNet GmbH. Veranstaltungsort ist das Sofitel Kurfürstendamm Berlin (Augsburger Straße 41, 10789 Berlin). Angesprochen sind IT-Entscheider, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden.

 

Der Fokus des ersten Tages liegt auf der toolgestützten Umsetzung des BSI Grundschutz. Dr. Harald Niggemann (BSI) beschäftigt sich in seiner Keynote mit der "Modernisierung des IT-Grundschutz". In der Agenda folgen u.a. die Themen "Informationssicherheit in der Versicherungswirtschaft" (Torsten Hemmer, GDV-DL), "IT-Sicherheitsgesetz: Umsetzung mit verinice" (Dirk Brand, SILA Consulting) und "Grundschutz-Anpassungen für industrielle Steuerungssystem im Kontext der SEWD-Richtlinie" (Thomas Walter, E.ON EKK).

 

Der zweite Tag widmet sich dem Arbeiten mit der ISO 27001. Volker Jacumeit (DIN e.V.) eröffnet mit "IT-Sicherheitsnormen der ISO/IEC 27000-er". Weitere Vorträge: "Umsetzung des ISMS bei DENIC" (Boban Krsic, DENIC), "Datenschutzmanagement mit verinice" (Ulrich Heun, Carmao), "Schwachstellenmanagement bei Continental" (Lothar Daschner, Continental Corporation). An beiden Tagen berichtet außerdem SerNets verinice.TEAM über verinice-Nutzung bei Bund, Ländern und Gemeinden bzw. bei Industrie und kritischen Infrastrukturen sowie die Roadmap der weiteren verinice-Entwicklung.

 

Anmeldungen zur Konferenz sind ab sofort unter <link http: www.verinicexp.org external-link-new-window die anwenderkonferenz für>verinicexp.org möglich, Grundschutz- und ISO-Tag können unabhängig voneinander gebucht werden. Die Teilnahmegebühr liegt bei 150 Euro pro Tag und dient alleine der Kostendeckung. Ein Social Event zum Abschluss des ersten Grundschutz-Tages im Konferenzhotel gibt Gelegenheit zum Networking und ist gleichzeitig Auftakt für den nächsten ISO-Tag. Alle Teilnehmerinnen und Teilnehmer erhalten außerdem das 160-seitige verinice-Handbuch im Wert von 50 Euro kostenfrei dazu.


Ausgerichtet vom Bundesamt für Sicherheit in der Informationstechnik (BSI) fand der 14. Deutsche IT-Sicherheitskongress vom 19. bis 21. Mai 2015 unter dem Motto „Risiken kennen, Herausforderungen annehmen, Lösungen gestalten“ statt. Zum Programm bei trugen auch Boban Kršić, Chief Information Security Officer (CISO) der DENIC, und Alexander Koderman, Abteilungsleiter verinice der SerNet GmbH.

Der Vortrag der beiden beschäftigte sich mit dem Informationssicherheits-Managementsystem der deutschen TLD-Registry als Prävention gegen Cyber-Bedrohungen. Im Fokus standen die speziell für den Betrieb einer zentralen Internet-Infrastruktur notwendigen Schritte beim Aufbau des erforderlichen Risikobehandlungsmodells, das aus den strategischen Geschäftszielen abgeleitet wurde, sowie dessen Steuerung mit Hilfe diverser Key-Performance-Indikatoren (KPI); daneben wurde aber auch das Modell als generische Referenz für andere Organisationen diskutiert.

 

An dieser Stelle kam Co-Referent Alexander Koderman ins Spiel: Weil der gesamte Risikograph mit seiner Vielzahl von Beziehungen sich mit herkömmlichen Office-Tools nicht mehr abbilden ließ, setzt DENIC seit 2013 auf verinice. Das von SerNet entwickelte Open-Source-Tool eignet sich zur Implementierung von BSI IT-Grundschutz genauso wie für den komplexen Betrieb eines ISMS nach der internationalen Norm ISO/IEC 27001. Koderman, der bei SerNet verinice als Projektleiter federführend betreut, erläuterte, wie die mit seiner Unterstützung entstandene, an DENICs Erfordernisse angepasste Software-Lösung in der Lage ist, nicht nur das gesamte ISMS zu modellieren, sondern zugleich auch das Risikomanagement mit abzubilden und dadurch die Aufbereitung und Präsentation der Ergebnisse für die Entscheidungsträger im Unternehmen zu ermöglichen.

 

Den vollständigen Bericht der DENIC e.G. zum 14. Deutschen IT-Sicherheitskongress können Sie hier im PDF-Format nachlesen. Besonderer Dank gilt der DENIC für die Bereitstellung des Artikels. 


Update für den verinice-Risikokatalog: Als DIN ISO 27001:2015-3 ist seit dem Frühjahr die deutsche Übersetzung der ISO 27001:2013 verfügbar. Diese ist auch in den aktualisierten verinice-Risikokatalog eingepflegt. Zusätzlich konnte das verinice.TEAM die ISO 27002:2013 integrieren, die Langtexte zu den einzelnen Maßnahmen enthält. Da hier noch keine offizielle  DIN-Übersetzung vorliegt, setzt verinice auf eigene Texte, die von der ARGE Rundfunk Betriebstechnik zur Verfügung gestellt wurden.

Eine verinice.PRO-Subskription beinhaltet bereits den Zugriff auf den verinice-Risikokatalog in Deutsch und Englisch mit allen Aktualisierungen. Auch die Neuerungen der DIN ISO 27001:2015-3 sowie die Integration der deutschen ISO 27002:2013 stehen verinice.PRO-Nutzern über den Update-Server zur Verfügung. Nutzer der freien Einzelplatz-Version von verinice haben die Möglichkeit, den Risikokatalog als Zusatzinhalt über den Online-Shop zu erwerben.

Die wichtigsten Neuerungen aus der offiziellen deutschen Übersetzung DIN ISO 27001:2015-3:

  • Die "IS-Leitlinie" heißt nun "Informationssicherheitspolitik", "Policy" wird ab sofort als "Politik" übersetzt. Diese Politik muss schriftlich festgehalten werden. Alle anderen Dokumente heißen weiterhin "Richtlinien", hier wurde "A.5 IS Policies" mit Informationssicherheitsrichtlinien" übersetzt.
  • "Dokumente" und "Aufzeichnungen" heißen nun "Dokumentierte Information", analog zu "Documented Information“. Das verinice.TEAM hat sich entschieden, wie schon im englischen Katalog die Objekttypen "Dokument" und "Aufzeichnung" beizubehalten, da diese Unterscheidung sinnvoll scheint und auch im Standard z.B. nach wie vor die Maßnahme "Schutz von Aufzeichnungen" enthalten ist.
  • Weitere Umbenennungen: Einige Bezeichnungen haben sich gewandelt, bei einigen haben wir die vorherige Version beibehalten.
    • "Information Security Risk Assessment" heißt nun "Informationssicherheitsrisikobeurteilung", und natürlich gibt es auch einen "Informationssicherheitsrisikobeurteilungsprozess". Der zugehörige verinice-Report wird umbenannt - allerdings in "IS-Risikobeurteilung" (statt "Informationssicherheitsrisikobeurteilungsbericht"). Analog wird aus dem "Information Security Risk Treatment" die "Informationssicherheitsrisikobehandlung" (Reportname: "IS-Risikobehandlung").
    • "Risk Owner" sind nun "Risikoeigentümer",
    • "Assets" sind "Werte" (verinice behält "Assets" bei)
    • Control A 8.1.2 "Assets shall be owned" lautet auf deutsch "Für Werte gibt es Zuständige" - in verinice gilt (ohne Customizing): Asset Owner = Risk Owner, d.h. mit Assets verknüpfte Personen betrachtet verinice als Risikoeigentümer (deutsch: Asset-Zuständiger = Risikoeigentümer).
    • "Controls" sind nun "Maßnahmen" (verinice behält "Control" bei)

Kennzahlen und die ISO 27004

Besonderes Augenmerk sollte den Kennzahlen gelten, die in Kapitel 9 der DIN ISO 27001:2015-3 "Überwachung, Messung, Analyse und Bewertung" zwingend eingefordert werden. Der zugehörige Standard ISO 27004, der dies genauer definiert, ist allerdings noch auf dem Stand von 2009 und wird derzeit überarbeitet. Notwendig wird der Aufbau eines  "ISMP" für das “ISMS": das "Information Security Measurement Programme". Es existiert keine deutsche Übersetzung der ISO 27004 in jedweder Version.

Kennzahlen beispielsweise zum Reifegrad der Control-Umsetzung, zum Erfolg von Risikobehandlungsmaßnahmen u.a. lassen sich in verinice durch die vorhandenen Reporting-Funktionen abdecken. Darüber hinaus hat das verinice.TEAM einige spannende Ideen für Erweiterungen in Sachen ISMP, an denen gerade gearbeitet wird.


News durchsuchen

Pressekontakt:

Claudia Krell
presse@remove-this.sernet.de

Archiv:

Deutsch English Lingua italiana Český jazyk
Contact us
Kontakt

Wir sind für Sie da

Unser Vertriebsteam hilft Ihnen gern bei allen Fragen zu verinice-Produkten und -Dienstleistungen der SerNet – persönlich und individuell auf Sie zugeschnitten.

Sie erreichen uns direkt telefonisch unter +49 551 370000-0.
Schicken Sie uns eine Mail an vertrieb@remove-this.sernet.de.

captcha
* Pflichtfelder
© SerNet GmbH, 2024