Neuigkeiten rund um verinice.

Gerade erst hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die 14. Ergänzungslieferung der IT-Grundschutzkataloge in Form eines Metadatenupdates veröffentlicht. Für Anwender von verinice und verinice.PRO ist sie bereits nutzbar. Dank des effizienten Team-Einsatzes können verinice-Anwender ab sofort mit den neuen, umfangreichen Bausteinen zu den Themen Web-Services und Cloud-Management im Tool arbeiten. 

Anleitung für verinice.PRO

Für Anwender von verinice.PRO liegt ein neues RPM-Paket im Repository bereit, das über den gewöhnlichen Update-Befehl eingespielt werden kann. Nach dem Update des RPM-Pakets muss die Konfiguration des verinice.PRO Servers geändert werden, damit die neue Datei eingelesen wird. Ändern Sie in der Datei:

/usr/share/tomcat6/webapps/veriniceserver/WEB-INF/veriniceserver-plain.properties

die Property veriniceserver.grundschutzKataloge auf den Wert:

veriniceserver.grundschutzKataloge=/WEB-INF/it-grundschutz_el14_html_de.zip

Zur Sicherheit sollten Sie vor dem Neustart des Tomcat-Servers auch den Ordner "gscache" löschen, dieser befindet sich hier: /usr/share/tomcat6/temp/gscache Selbstverständlich unterstützen wir Sie gern im Rahmen ihres Supportverrages bei der Durchführung des Updates.

Anleitung für verinice. Standalone-Version

Anwender der kostenlosen Version von verinice können den Katalog für verinice unter folgender URL herunterladen:

http://updates.verinice.org/pub/verinice/content_for_verinice/it-grundschutz_el14_html_de.zip

Nach dem Download muss die Datei in den Einstellungen von verinice ausgewählt werden: Menü -> Einstellungen -> BSI IT-Grundschutz -> ZIP-Datei mit GS-Katalogen. Falls nach dem Einlesen die veränderten Inhalte nicht angezeigt werden, schließen Sie bitte die Anwendung. Löschen Sie dann den Ordner "gscache". Er befindet sich im Ordner "verinice" Heimatverzeichnis Ihres Benutzers, unter Windows 7 z.B. hier:

C:\Benutzer\<Benutzername>\verinice\workspace\gscache

Löschen Sie den Ordner "gscache" mitsamt aller enthaltenen Dateien und starten danach den Client neu. Die neuen Kataloge sollten nun eingelesen werden.

Änderungen gegenüber der Vorgängerversion

Bitte beachten Sie die Liste der Änderungen der 14. EL gegenüber der Vorgängerversion, insbesondere Änderungen bei einzelnen Maßnahmen, die Sie im Rahmen ihres Basis-Sicherheitschecks berücksichtigen müssen. 

Veränderungen wie z.B. entfallene Maßnahmen werden von verinice nach dem Import angezeigt, wenn Sie das entsprechende Objekt auswählen. Änderungen im Inhalt einzelner Maßnahmen müssen vom Sicherheitsbeauftragten evaluiert und ggf. neu bewertet werden. Beim Übertragen der vorhandenen Ergebnisse in überarbeitete Bausteine hilft Ihnen die Konsolidierungsfunktion von verinice.

Vom 24. bis 26. März 2015 ist verinice auf den WHD.global (World Hosting Days) vertreten. Mit einem verinice-Stand (Standnummer D12) schließt sich die SerNet GmbH dem Branchentreff des Hosting- und Internetsektors im Europa-Park Rust an.

Das SerNet-Team vor Ort freut sich, zu verinice und damit verbunden den Schwerpunkten IT-Security, ISMS, ISO 27001 sowie BSI-Grundschutz zu informieren. Am Donnerstag, 26. März 2015 gibt es außerdem den Vortrag "There is no security without Open Source" von SerNet-Geschäftsführer Dr. Johannes Loxen (Raum "Circus Celebration"). Auch fleißige v.LEUTE suchen wir wieder! Uns einen Besuch abzustatten lohnt sich also gleich mehrfach.

Die World Hosting Days generell drehen sich rund um aktuelle Trends der Netzwelt und Internetwirtschaft. Unter anderem sprechen MySQL-Erfinder Monty Widenius, Sicherheitsexperte Eugene Kaspersky, Apple-Mitgründer Steve Wozniak und - per Videokonferenz - Edward Snowden. Hosting- und Datacenter-Themen wie Virtualisierung, Cloud Computing und Sicherheit bestimmen darüber hinaus das Programm.

Wer sich verinice und die WHD also nicht entgehen lassen möchte, erhält ein kostenloses Tagesticket mit dem Code:

LXWTCGF

Dieser kann auf den Seiten der WHD eingelöst werden.

Frisch aus dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat uns das Metadatenupdate zur 14. Ergänzungslieferung der IT-Grundschutz-Kataloge erreicht. Aktuell arbeitet das verinice.TEAM intensiv daran, die 14. Ergänzungslieferung für verinice-Nutzer verfügbar zu machen. Sobald dies realisiert ist, informieren wir Sie.

Schwerpunkte der 14. Ergänzungslieferung sind Cloud Computing und Mobilkommunikation. Auch zu den Themen Allgemeine Anwendungen sowie Sensibilisierung und Schulung zur Informationssicherheit enthält die Ergänzungslieferung neue bzw. aktualisierte Bausteine.

Erschienen ist die Ergänzungslieferung bereits im Dezember 2014. Damit diese in Grundschutz-Tools wie verinice genutzt werden können, bedarf es diese jedoch in einem speziellen Format. Dieses hat das BSI nun veröffentlicht.

Das <link internal-link>verinice.TEAM sucht am SerNet-Standort Berlin Verstärkung: Wir freuen uns, bald eine/n Junior Java/JEE-Anwendungsentwickler/in für verinice begrüßen zu dürfen.

Ihre Aufgabe:

• Customizing & Weiterentwicklung von verinice in Zusammenarbeit mit unseren Kunden und Beratern (Konzeption, Entwicklung, Integration und Test)
• Troubleshooting und Problemanalysen
• Unterstützung unserer Kunden bei der Installation, Konfiguration und dem Einsatz von verinice
• Inbetriebnahme neuer Infrastrukturkomponenten gemäß der Anforderungen und Vorgaben

Ihr Vorwissen:

• Abgeschlossenes Studium oder vergleichbare Ausbildung
• Kenntnisse in JAVA-Programmierung
• Erfahrungen mit Web-Server-Technologien (Apache Webserver) und JEE Applikationsservern (Tomcat)
• möglichst Kenntnisse mit JAVA-Technologien: Eclipse Rich Client Plattform, Spring, JSF, Hibernate
• gute Linux-Kenntnisse (als Server- und Desktop-Betriebssystem)
• aktuelle Entwicklungstrends wie z.B. Clean Code, Continuous Integration, DevOps oder Scrum
• Deutsch: verhandlungssicher
• Englisch: gute Kenntnisse

Arbeitsumfeld und Zusatzleistungen:

• <link https: www.sernet.de internal link in current>Informationen der SerNet zum Arbeitsumfeld
• <link https: www.sernet.de internal link in current>Mehr zu Ausbildung, Studium und Frauen in MINT-Berufen

Über verinice:

verinice ist das einzige ISMS-Tool unter OpenSource-Lizenz für das Management von Informationssicherheit, das die Grundschutzkataloge des BSI lizenziert hat und den Standard ISO 27001 mehrsprachig implementiert.

verinice wird in Organisationen von 10 bis 100.000 Mitarbeitern in allen Branchen eingesetzt: Automotive, Behörden, Verwaltung, Öffentliche Anstalten, Life Science, Pharma uvm. Diese hohe Flexibilität und Skalierbarkeit der Applikation wird durch eine 3-Tier Architektur gewährleistet. Der Rich Client auf Eclipse RCP-Basis stellt plattformunabhängig die Funktionalität unter Windows, Linux und MacOS X sicher. Durch die konsequente Verwendung von OpenSource-Komponenten und -Frameworks ermöglichen wir unseren Kunden die größtmögliche Funktionalität und Stabilität ohne Einschränkung durch komplizierte Lizenzmodelle oder proprietäre Schnittstellen.

Erfinder von verinice und Teamleiter bei SerNet ist Alexander Koderman.

SerInteressiert?

Bei Interesse an dieser Position schicken Sie bitte eine Bewerbung als PDF per E-Mail an jobs@remove-this.sernet.de. Bewerbungsfrist ist der 25. März 2015.

Am 2. Juni 2015 haben zehn Teilnehmer die Möglichkeit, den Workshop "Von der Schwachstellenanalyse zum Management für Informationssicherheit: Kopplung von OpenVAS und verinice" in Köln zu besuchen. Die gemeinsame Veranstaltung der greenbone Network GmbH, der DELL Software GmbH sowie der SerNet GmbH ist eine Wiederholung des stark nachgefragten gemeinsamen Angebots von 2014 und zeitgleich gemeinsamer Beitrag für die Allianz für Cyber-Sicherheit (ACS).

Als Inhalte werden das Wissen und die Werkzeuge vermittelt, um die Anfälligkeit des eigenen Unternehmens gegenüber Angriffen aus dem Cyber-Raum zu prüfen. Diese Informationen werden anschließend in einen strukturierten Prozess zur Schwachstellenbehebung und Nachverfolgung überführt. Es wird der praktische Umgang mit den Werkzeugen vermittelt und diese gemeinsam angewandt. Dazu wird die Prozesskette exemplarisch aufgebaut und durchgeführt. Weitere Details zur Agenda finden Sie <link https: www.allianz-fuer-cybersicherheit.de acs de _downloads angebote partner den workshop-details bei der>hier.

Achtung, der Workshop ist mittlerweile ausgebucht. 

Am 26. und 27. Februar 2015 findet die Domain pulse 2015 in Berlin (im andel's Hotel) statt. Auch verinice hat sich einen Platz bei der jährlichen Zusammenkunft der Domain-Branche vertreten: Wir suchen an unserem Stand v.Leute! Zu gewinnen gibt es ein Tablet nach Wahl. 

Die Domain pulse ist gemeinsames Forum von DENIC, nic.at und SWITCH. Die SerNet wird sich mit einem verinice-Informationsstand den Themen Informationssicherheit und IT-Security annehmen sowie das hauseigene OpenSource ISMS-Tool vorstellen.

Der 8. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit (ACS) steht an. Am Freitag, 6. März 2015 startet die Veranstaltung um 9 Uhr in Dortmund. Alexander Koderman, verinice-Teamleiter bei SerNet, ist mit seinem Vortrag "1000 und 1 Schwachstelle: Cyber-Bedrohungen den Nährboden entziehen!" vertreten. Anmeldungen sind noch möglich. 

Beim Schwachstellen-Management hilft kein Genie aus der Wunderlampe. Koderman zeigt darum in seinem Vortrag auf, wie Unternehmen mit einer Integration von Schwachstellenscans im ISMS den Bedrohungen aus dem Cyber-Raum entgegen treten können. So können IS-Manager Schwachstellen nicht nur schließen, sondern auch ihre Effizienz deutlich steigern und Cyber-Bedrohungen zu Cyber-Sicherheit wandeln.

Der Vortrag bezieht sich auf zwei praktische Beispiele für das Management von Schwachstellen aus zwei Unternehmen: einem führenden Hersteller der Automotive-Branche mit weltweit 60.000 Mitarbeitern sowie einem der drei größten deutschen Versicherungskonzerne.

Die Teilnehmerzahl für den Cyber-Sicherheits-Tag ist auf 120 begrenzt. Anmeldungen erfolgen über das Online-Formular der ACS oder eine E-Mail an info@remove-this.cyber-allianz.de - pro Institution ist nur ein Teilnehmer zugelassen.

Veranstaltungsort ist das Radisson Blu Hotel Dortmund (An der Buschmühle 1, 44139 Dortmund).

Mit Holger Schellhaas hat das <link internal-link verinice.partner-programm>verinice.PARTNER-Programm Verstärkung erfahren. Seit Januar ist er neuer Partner und kann als externer Berater für Projekte heran gezogen werden. Informationen zu seinen Schwerpunkten, Zertifizierungen und Referenzen sind im entsprechenden <link internal-link holger>Partner-Eintrag zu finden.

verinice.PARTNER sind vom verinice.TEAM ausgewählte, erfahrene Berater. Sie haben bereits in mehreren abgeschlossenen Projekten unter Beweis gestellt, dass Sie verinice / verinice.PRO erfolgreich bei ihren Kunden zum Einsatz bringen.

Zum Jahreswechsel 2014/2015 ist das <link _blank internal-link verinice.partner-programm>verinice.PARTNER-Programm wieder gewachsen: Neuer Partner ist Alexander von Ossowski. Alle Informationen zu Schwerpunkten, Zertifizierungen und Referenzen sind im entsprechenden <link internal-link>Partner-Eintrag zu finden. 

Damit können nun acht externe Berater von verinice-Kunden heran gezogen werden. Je nach Schwerpunkten sind sie sowohl bei Informationssicherheitsprojekten oder Audits als auch bei der Installation und Wartung von verinice-Instanzen im Einsatz. Die Partner gehören selbst nicht zum verinice-Team der SerNet GmbH, stehen mit diesem jedoch in engem Kontakt und bieten so gehäuftes verinice-Know-how.  

In verinice steht seit einiger Zeit auch der Gefährdungskatalog G 0 "Elementare Gefährdungen" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Verfügung. Diese Gefährdungen lassen sich bei einer Risikoanalyse gemäß dem BSI Standard 100-3 in verinice/verinice.PRO verwenden.

Siehe dazu auch die PDF-Dokumente des BSI

• <link https: www.bsi.bund.de shareddocs downloads de bsi publikationen itgrundschutzstandards _blank>Ergänzung zum BSI-Standard 100-3, Version 2.5 "Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen"
• <link https: www.bsi.bund.de shareddocs downloads de bsi grundschutz download>Gefährdungskatalog Elementare Gefährdungen

Der Katalog wurde in das verinice-Format VNA gebracht und ist nun u.a. im <link https: verinice.com produkt verinice-download>Downloadbereich unter "Kataloge & Mehr" zu finden (<link https: update.verinice.org pub verinice content_for_verinice elementare_gefaehrdungen.zip external-link-new-window>Direktlink zum ZIP-File). Spezieller Dank hierfür geht an Jens Syckor von der TU Dresden.