Neuigkeiten rund um verinice.

Das <link verinice.partner-programm>verinice.PARTNER-Programm ist zum wiederholten Mal gewachsen: Insgesamt sieben externe Berater können ab sofort verinice-Kunden zur Seite stehen. Je nach Schwerpunkten sind sie sowohl bei Informationssicherheitsprojekten oder Audits als auch bei der Installation und Wartung von verinice-Instanzen im Einsatz. 

Für Kunden bringt das Partnerprogramm gleich mehrere Vorteile mit sich: Branche, Spezialisierung, Verfügbarkeit und räumliche Nähe können entscheidende Faktoren sein, wenn es darum geht einen Berater zu wählen. Das verinice.PARTNER-Programm macht dabei auf qualifizieret Partner in ganz Deutschland aufmerksam und lässt Kunden zeitgleich die freie Entscheidung, mit wem sie zusammen arbeiten möchten. Die Partner gehören nicht zum verinice-Team der SerNet GmbH, stehen mit diesem jedoch in engem Kontakt und bieten so gehäuftes verinice-Know-how. 

Partner kann werden, wer bereits erfolgreich Projekte mit verinice abgeschlossen hat. Auch auf einschlägige Zertifizierungen legt das verinice-Team bei der Aufnahme neuer Partner wert.  

Sollten Sie Interesse haben, ebenfalls an unserem Partnerprogramm <link internal-link>Teil zu nehmen, setzen Sie sich gerne mit uns in Verbindung. Wir informieren Sie über Konditionen, Möglichkeiten - und freuen uns Sie kennen zu lernen. 

Die <link http: www.denic.de> DENIC eG, zentrale Registrierungsstelle und technische Betreibergesellschaft der deutschen Länderdomain .de, hat eine Zertifizierung nach ISO 27001 erreicht. Wir freuen uns mit unserem verinice-Nutzer und gratulieren zu diesem Meilenstein. 

In ihrer Pressemitteilung gibt die DENIC bekannt, dass sie ihr Informations-Sicherheits-Management-System (ISMS) durch den TÜV Nord nach den normativen Vorgaben der ISO/IEC 27001:2013 in einem Full-Scope-Ansatz zertifizieren lassen habe. Und weiter: "Dieser umfasst sämtliche Aufgaben, Infrastrukturen und Prozesse, die zur Erbringung der Dienstleistungen Domainregistrierung, Namensauflösung und Auskunftsdienste sowie von Infrastrukturdienstleistungen für Betreiber weiterer Namensräume benötigt werden." 

<link http: www.denic.de denic-im-dialog pressemitteilungen denic eg nach iso>Mehr dazu direkt bei der DENIC.

Am 14. Oktober 2014 haben zehn Teilnehmer die Möglichkeit, den Workshop "Von der Schwachstellenanalyse zum Management für Informationssicherheit: Kopplung von OpenVAS und verinice" in Köln zu besuchen. Die Veranstaltung ist ein gemeinsames Angebot der greenbone Network GmbH, der DELL Software GmbH sowie der SerNet GmbH und zeitgleich gemeinsamer Beitrag für die Allianz für Cyber-Sicherheit (ACS).

Als Inhalte werden das Wissen und die Werkzeuge vermittelt, um die Anfälligkeit des eigenen Unternehmens gegenüber Angriffen aus dem Cyber-Raum zu prüfen. Diese Informationen werden anschließend in einen strukturierten Prozess zur Schwachstellenbehebung und Nachverfolgung überführt. Es wird der praktische Umgang mit den Werkzeugen vermittelt und diese gemeinsam angewandt. Dazu wird die Prozesskette exemplarisch aufgebaut und durchgeführt.

Achtung, der Workshop ist mittlerweile ausgebucht.

Vom 23. bis zum 26.09.2014 findet an der Ruhr-Universität Bochum das <link https: www.guug.de veranstaltungen ffg2014 programm.html _blank programm des>Frühjahrsfachgespräch 2014 der <link https: www.guug.de _blank unix user>German Unix User Group (GUUG) statt. Mit einem Vortrag wird auch Alexander Koderman, Teamleiter Certification & Audits und verantwortlich für die Entwicklung von verinice, vertreten sein.  

Sein Vortrag "Schwachstellen loswerden mit OpenVAS und verinice" ist am Donnerstag, 25.09.2014, von 11.30 bis 12.15 Uhr zu hören. Er beschreibt praxisnah, wie die Kombination aus Schwachstellenscanner und ISMS-Tool erfolgreich zum Einsatz gebracht werden kann. 

<link https: www.sernet.de de neuigkeiten news-detail artikel erfolgreiche-kopplung-fallstudie-zu-gsm-und-verinice _top fallstudie zu gsm und>Lesen Sie zu diesem Thema auch die Erfolgsstory zur Kopplung von verinice und Greenbones GSM.

<link 31 - internal-link "verinice Release Notes">verinice 1.8</link> ist erschienen. Die neue Version steht ab sofort zum <link 95 - internal-link verinice-Download>Download</link> bereit.

verinice 1.8 bringt einige Verbesserungen mit sich, durch die sich die Nutzung des ISMS-Tools nochmals komfortabler, einfacher und effizienter gestaltet. Die Neuerungen im Überblick:

• Generischer Workflow
  Wenn die Frist zur Umsetzung einer Aufgabe abgelaufen ist, verbleibt die Aufgabe beim Verantwortlichen. Der Initiator der Aufgabe erhält eine E-Mail mit einem Hinweis, dass die Frist abgelaufen ist. Der Verantwortliche kann im Workflow die Verlängerung der Frist beantragen. Der Initiator muss den Antrag prüfen und kann ggf. die Frist der Aufgabe verlängern. 
   
• Löschen beim Import
  Beim wiederholten Importieren von Daten aus einer gleichen Quelle können Objekte in verinice gelöscht werden, wenn sie nicht mehr in den importierten Daten enthalten sind. 
   
• Lese-Berechtigungen im Aufgaben-View
  Im Aufgaben-View werden die Lese-Berechtigungen der Objekte beachtet.  Aufgaben werden nur dann angezeigt, wenn ein Benutzer auch das Objekt sehen darf, das mit der Aufgabe verknüpft ist. 
   
• Lese-Berechtigungen im Datei-View
  Im Datei-View werden die Lese-Berechtigungen der Objekte beachtet. Dateien werden nur dann angezeigt, wenn ein Benutzer auch das Objekt sehen darf, an das die Datei angehängt ist.
   
• Objektpfad im Verknüpfungs-View
  Im Verknüpfungs-View wird der Pfad vom verknüpften Objekt zum IT-Verbund bzw. zur Organisation als Tooltip angezeigt. 
   
• CC- und BCC-Adresse für den Versand von E-Mails
  Auf dem Server kann optional eine CC- und BCC-Adresse hinterlegt werden, die in alle E-Mails eingetragen wird, die verschickt werden.
   
• Standardverzeichnis für Report-Vorlagen
  Der Report-Dialog speichert (wenn gewünscht) ein Verzeichnis, aus dem Report-Vorlagen geladen werden.

Bitte beachten Sie die allgemeinen Hinweise zum <link 32 - internal-link>Update und die Release Notes</link>.

Die für verinice 1.8 umgesetzten Neuerungen gehen u.a. auf Nutzerfeedback zurück. Durch den regen und produktiven Kontakt mit Support- und Entwicklerteam, konnten Kunden Erfahrungen einbringen und so Optimierungen anstoßen. Diesen vitalen Austausch fördern wir auch weiterhin sehr gerne. Bitte schreiben Sie uns an <link verinice@sernet.de>verinice@sernet.de</link> - Ihre Anliegen werden beachtet. 

Das verinice-Team wird vom 7. bis zum 9. Oktober 2014 wieder bei der IT-Security Messe <link http: www.it-sa.de _blank>it-sa in Nürnberg vertreten sein. Sie finden uns in <link http: www.it-sa.de de ausstellerprodukte _blank verinice-team auf der it-sa in halle>Halle 12.0 / 12.0-339. Hier erfahren Sie unter anderem das Neueste zu unserer ISMS-Software. 

Gerne vereinbaren wir vorab auch einen Gesprächstermin mit Ihnen! 

Sie möchten uns auf der it-sa besuchen? Dann kontaktierren Sie uns unter <link an email to itsa at sernet>itsa@sernet.de - wir übermitteln Ihnen gerne einen Code für ein kostenloses eTicket. Diesen können Sie ab dem 26. August 2014 einlösen unter <link http: www.it-sa.de gutschein _blank für it-sa-eticket>www.it-sa.de/gutschein.

Ab sofort steht verinice in der Version 1.7.0 zum Download bereit.

• ISO 27001:2013 / IT-Grundschutz 13. Ergänzungslieferung
  Für verinice 1.7.0 stehen die beiden Standards zur Informationssicherheit -  ISO/IEC 27001:2013 und IT-Grundschutz - in der jeweils aktuellsten Fassung zur Verfügung.
   
• Direktimport für Dateistrukturen
  verinice kann nun ganze Teilbäume aus dem Dateisystem in die Datenbank in einer einzigen Aktion importieren. Ordnerstrukturen bleiben dabei enthalten, die Dateien werden als passende Objekte angelegt und gleichzeitig als Attachments importiert.
  Auf diese Weise lassen sich beispielsweise existierende Richtlinien oder Audit-Nachweise schnell und einfach in die Datenbank übernehmen.
  Der Import kann auch Verknüpfungen zwischen Objekten anlegen, um z.B. die Beziehung zwischen Richtlinien und den darin beschriebenen Controls abzubilden.
   
• Konsolidieren mit Verknüpfungen
  Eine neue Konsolidierungsfunktion für IS-Assessments ermöglicht es, existierende Audit-Ergebnisse auf z.B. Überwachungsaudits zu übertragen. Bestehende Verknüpfungen z.B. zu zentralen Richtlinien und anderen Objekten werden dabei berücksichtigt.
  Diese Funktion erleichtert das kontinuierliche Prüfen der Informationssicherheit durch die Übernahme vergangener Feststellungen und Nachweise als Startpunkt für ein neues Audit.
   
• Webservice zum Importieren von File-Attachments
  Dateianhänge können nun auch über den von anderen Tools ansprechbaren Web-Service automatisch importiert werden. Dadurch können zum Beispiel Report-Ergebnisse aus OpenVAS / Greenbone-GSM mitsamt den Original-Berichten als Referenz in der verinice Datenbank vollautomatisch angelegt werden.
   
• Meldeverfahren für Sicherheitsvorfälle
  verinice unterstützt mit eigenen Eingabefeldern und neuen Reports die vorgeschriebene Meldung von Sicherheitsvorfällen für Bundesbehörden - konform zur allgemeinen Verwaltungsvorschrift über das Meldeverfahren gemäß BSIG § 4 Abs. 6. Zwei neue Report-Templates können sofort eingesetzt werden:
  Die Sofortmeldung ist für kritische Sicherheitsvorfälle vorgeschrieben. Die statistische Gesamtmeldung kann monatlich ausgeführt werden, um eine Zusammenfassung von Vorfällen nach Kriterien auszugeben.
  Natürlich kann das Verfahren der Bundesbehörden auch in anderen Organisationen als Beispiel für einen Meldeprozess dienen und verwendet werden.
  Eine Beispiel-Organisation zum Ausprobieren des Reports haben wir in unserem Forum bereitgestellt.
   
• Task Übersicht
  verinice.PRO-Anwender erhalten mit dem neuen Report eine Übersicht der aktuell über Workflows vergebenen Aufgaben im System. So werden der Bearbeitungszustand jeder Aufgabe ebenso wie der Verantwortliche und die Zeiträume sichtbar. Das erleichtert das Nachverfolgen von in Bearbeitung befindlichen Aufgaben.

Neue Berichtsvorlagen im verinice.FORUM

An dieser Stelle möchten wir auf einige Neuentwicklungen hinweisen, die wir für Sie vorab in unserem Forum veröffentlicht haben.

• Datenschutz: Verarbeitungsübersicht (verinice.FORUM)
  In unserem Forum haben wir eine Report-Vorlage und Beispiel-Organisation zum Erstellen einer Verarbeitungsübersicht nach § 4g II i.V.m. § 4e BDSG bereitgestellt. Die entsprechenden Felder zur Pflege der Verfahren sind in verinice 1.7.0 vollständig enthalten. Funktionen für den Datenschutz werden wir in verinice weiter ausbauen. Wir freuen uns über Feedback und Anregungen! 
   
• IT-Grundschutz Reportvorlage (verinice.FORUM)
  Für verinice.PRO-Anwender steht eine neue Vorlage für eigene IT-Grundschutz-Reports zur Verfügung. Diese enthält alle Objekte eines Informationsverbundes: Zielobjekte, Bausteine, Maßnahmen und verantwortliche Personen. Im vDesigner können damit schnell eigene Tabellen und Charts nach eigenem Bedarf erstellt werden.

Bitte beachten Sie die allgemeinen Hinweise zum Update und die Release Notes.

Die brandneue Version des verinice-Risikokatalogs steht ab sofort in Englisch zur Verfügung. Sie berücksichtigt die Ende 2013 veröffentlichte Neufassung der Normen ISO 27001 sowie 27002 mit ihren zahlreichen Neuerungen. Diese überarbeitete Auflage des Risikokatalogs für verinice hilft Neu-Anwendern beim Einstieg und als Update auch erprobten Anwendern der ISO 27001:2005 beim Umstieg. Beiden Gruppen verschafft sie einen großen Vorteil: Zeitersparnis. 

Die neue Fassung des verinice-Risikokatalogs enthält alle 14 Control Clauses, 35 Security Categories und 114 Controls des Standards. Außerdem beinhaltet er 109 generische Risikoszenarien, 47 Threats und 90 Vulnerabilities sowie über 1.100 Verknüpfungen. So verbinden sich alle Objekte zu einem sinnhaften Ganzen. Der Aufwand für eine umfassenden High Level Risikoanalysye verkürzt sich dadurch enorm. Statt mehreren Tagen benötigen Anwender nur noch wenige Stunden.

Als Implementierungshilfe sind für alle Controls nun kurze und prägnante Texte hinterlegt. Zu jeder Security Category gibt es außerdem eine kurze, möglichst verständlich gefasste Darstellung zu Sinn und Zweck des jeweiligen Kapitels.

Ebenfalls angepasst und gemäß der Änderungen im Standard reduziert wurde die Liste der Mandatory Documents, die für eine Zertifizierung zwingend erforderlich sind. Nach wie vor enthält der Katalog zusätzliche Empfehlungen für weitere Dokumente, die im eigenen Interesse für den reibungslosen Betrieb des ISMS erstellt werden sollten.

Alle Maßnahmen der neuen ISO 27002:2013 wurden wie für verinice-Anwender gewohnt bereits mit passenden Risikoszenarien verknüpft, um eine beschleunigte Risikobewertung basierend auf ISO 27005 vorzunehmen.

Aktive Risikoreduktion und Zeitersparnis

Der verinice Risikokatalog verbindet zwei arbeitsintensive Tätigkeiten der ISMS-Einführung miteinander: das Erstellen des "Statement of Applicability" (SoA) und die Risikoanalyse. Die Ergebnisse der SoA werden in verinice direkt bei der Risikoanalyse berücksichtigt. So sparen Sie viel Zeit bei der Risikobehandlung und die Controls der ISO 27001 werden zu mehr als nur einer Compliance-Checkliste: sie tragen sofort aktiv zur Risikoreduktion typischer Risiken aus dem IT-Einsatz bei. Das spart Aufwand bei der Formulierung eigener Controls zur Risikobehandlung. 

Der Aufwand für die Risikobewertung und Risikoreduktion wird hierdurch erheblich reduziert, so dass mehr Zeit für die Identifikation und Behandlung organisationsspezifischer Risiken bleibt.

Neue Version des Risikokatalogs beziehen

verinice.PRO Subskribenten finden die neue Version des Risikokatalogs im Repository. Der verinice-Risikokatalog steht ihnen kostenfrei zur Verfügung.

Für Anwender der kostenfreien verinice-Version ist der Katalog in unserem Web-Shop erhältlich.

Der Download-Code im Web-Shop ist für ein Jahr gültig. Falls Sie also die 2005er-Version des Risikokatalogs innerhalb der letzten 12 Monate erworben haben, steht das Update nun kostenfrei für Sie zum Download bereit.

Der Katalog steht zur Zeit ebenso wie der Standard ausschließlich in englischer Fassung zur Verfügung. Eine deutsche Version wird ergänzt, sobald die Übersetzung der DIN finalisiert wurde (bislang ist diese nur als Norm-Entwurf verfügbar).

Import-Anleitung:

Anwender des bisherigen Risikokatalogs basierend auf ISO 27001:2005 importieren bitte den Katalog "verinice_Risk_Catalogue_EN_2013_UPDATE".

Der Update-Katalog wird einfach über einen bereits in der Vergangenheit importierten Risikokatalog importiert. Vorher sollte eine Sicherung des gesamten Modells über die Export-Funktion durchgeführt werden.

Für Umsteiger sind dort alle entfallenen Controls und andere Objekte mit "OMITTED" markiert und können nach manueller Überprüfung gelöscht werden.

Veränderte Controls sind mit "REMOVE" markiert und können ebenfalls nach manueller Prüfung gelöscht werden.

Vorher sollten nötige Änderungen berücksichtigt werden, besonders Änderungen an Richtlinien, Nachweisen und anderen Dateianhängen, die Sie in verinice seit dem Import des ursprünglichen Kataloges ergänzt haben.

Neueinsteiger verwenden bitte den Katalog "verinice_Risk_Catalogue_EN_2013", um mit einer neuen Datenbank auf dem aktuellen Stand der Norm zu beginnen.

<link http: heartbleed.com _blank zu heartbleed>"Heartbleed" - eine schwere Sicherheitslücke in der Verschlüsselungssoftware OpenSSL - beunruhigt derzeit die IT-Szene. Bei SerNet und im verinice-Team beschäftigen wir uns intensiv mit dem Bug und entsprechenden Lösungen. Wir halten Sie an dieser Stelle über alle Entwicklungen auf dem Laufenden. 

Informationen für verinice-Kunden:

• Der verinice-Client ist nicht betroffen.
• Nutzer der Appliances sollten das bereits verfügbare Update ziehen bzw. das OpenSSL-Paket updaten.
• Betroffen war auch das verinice-Repository. Auch hier haben wir bereits alle nötigen Maßnahmen ergriffen, der Server ist nicht mehr anfällig.

UPDATE für Kunden mit Firewall-Systemen: Alle von uns zu ergreifenden Maßnahmen wurden abgeschlossen. Betroffene Kunden wurden informiert und die Sicherheitslücke ist geschlossen. Wo nötig, wurden die SSL-Zertifikate von uns ausgetauscht.

Sollten Sie konkrete Fragen zu Ihren Systemen bei uns und den Konsequenzen durch Heartbleed haben, rufen Sie uns bitte unter 0551 37 0000 0 an, senden eine E-Mail an <link an>heartbleed@sernet.de oder wenden Sie sich direkt an Ihren verinice-Support. 

Wie aus Schwachstellenscans und der Nutzung von verinice als ISMS-Tool ein zentral gesteuerter Prozess für das Schwachstellenmanagement wird, zeigt die Greenbone Networks GmbH in einer Fallstudie: Die LEONI AG, Automobilzulieferer mit Sitz in Nürnberg, setzt auf die Kombination von Greenbone Security Manager (GSM) und verinice.PRO. Die "Fallstudie Vulnerability Management" gibt es als PDF im direkten Download bei Greenbone.

Als zentrale Aussage sticht hervor, dass LEONI durch die Kombination aus GSM und verinice.PRO die Effizienz der weltweit verteilten IT-Teams bei der Beseitigung von Schwachstellen deutlich steigern konnte. Erfolgsfaktor ist die enge Verzahnung beider Komponenten - ermöglicht wird diese auch durch die gute Zusammenarbeit von Greenbone Networks GmbH und SerNet. Als Ergebnis gehen bei LEONI Zeitersparnis und die Reduktion der Schwachstellen auf ein Zehntel des vorherigen Wertes Hand in Hand.

Sie wollen mehr zur Kopplung von GSM und verinice wissen? Wenden Sie sich gerne per E-Mail an verinice@remove-this.sernet.de an uns oder die Greenbone Networks GmbH.