Neuigkeiten rund um verinice.

verinice-Product-Owner Michael Flürenbrock zeigt am 23. Juni 2022 bei der KIXCONF, wie verinice und die Service-Management-Software KIX der c.a.p.e. IT GmbH zusammenspielen. Die Konferenz findet am 22. & 23.6.2022 online statt, im Mittelpunkt stehen Neuigkeiten und Use Cases rund um das IT- und Service-Management mit der Open-Source-Software KIX.  SerNet unterstützt die Anwenderkonferenz außerdem als offizieller Partner. Eine Registrierung für das Event ist kostenlos möglich. 

Während KIXdesk als ITSM-Software die tägliche Arbeit von IT-Teams und ganzen Unternehmen unterstützt, bildet das ISMS-Tool verinice von der SerNet GmbH die Informationssicherheit in einem PDCA-Zyklus ab. In seinem Vortrag gibt Michael Flürenbrock einen Überblick über das intelligente Zusammenspiel von KIX und verinice und welche Vorteile sich für die Anwendenden ergeben. Außerdem wirft er einen Blick auf die wichtigsten Schritte beim Aufbau eines Informationssicherheits-Managementsystems.
 

Ab sofort stehen verinice und verinice.PRO in Version 1.24 bzw. der aktuellsten Version 1.24.1 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung. Das verinice.TEAM stellt mit verinice 1.24.1 mehr als 40 neue Funktionen, Detailänderungen und Fehlerbehebungen bereit. Ausführliche Informationen sind in den Release Notes zu finden.

Zentrale Neuerung in verinice 1.24.1 ist die Referenzierung von Bausteinen im modernisierten BSI IT-Grundschutz, die nun vereinfacht ist und optisch hervorgehoben wird. Mit der Baustein-Referenzierung ist es möglich, im Informationsverbund bereits modellierte Bausteine für mehrere Zielobjekte gleichzeitig zu nutzen. Dadurch verringert sich sowohl der Aufwand für die Bearbeitung und Pflege der Bausteine, als auch die Anzahl der im Informationsverbund enthaltenen Bausteine. Dabei werden die Zielobjekte, bei denen eine Baustein-Referenzierung vorliegt, eindeutig gekennzeichnet.

Ab dieser Version wird der Windows-Client signiert ausgeliefert. Der Einsatz von verinice wird außerdem auf einem aktuellen MacBook mit einem M1-Prozessor unterstützt.

Aufgrund von Sicherheitslücken in älteren log4j-Versionen, erfolgt mit verinice 1.24.1 ein Umstieg auf reload4j.

HINWEIS: verinice 1.24.1 ist die aktuellste Version. Nach einem Update auf verinice 1.24 wurden im Client hinter den Namen der Objekte mehrere IDs angezeigt. Diese für das Debugging gedachte Funktion verursachte zwar Unübersichtlichkeit, jedoch keine Fehler in der Anwendung. verinice konnte wie gewohnt genutzt werden und das Problem trat bei Neuinstallation nicht auf – dennoch hat das Team eine neue Version 1.24.1 bereitgestellt.

Sollten Sie Hilfe beim Update auf verinice 1.24.1 benötigen, kontaktieren Sie uns gerne unter verinice@remove-this.sernet.de – auch das verinice-Forum können Sie für den Austausch mit dem verinice-Team sowie anderen Anwender*innen nutzen. 

An Kommunalverwaltungen, die einen systematischen Einstieg in die Informationssicherheit suchen, richtet sich das  IT-Grundschutz-Profil zur Basis-Abischerung. Es ermöglicht Kommunen eine zunächst breite, grundlegende Erst-Absicherung und erleichtert den Einstieg in die Informationssicherheit. Das Profil ist auch für verinice in Version 3.0 über den verinice.SHOP kostenlos verfügbar.

Das IT-Grundschutz-Profil basiert auf dem BSI-Standard 200-2 "IT-Grundschutz-Methodik" und definiert die Mindestsicherheitsmaßnahmen, die in einer Kommunalverwaltung umzusetzen sind, um sich nach Einschätzung der Autoren nicht der groben Fahrlässigkeit schuldig zu machen. Das IT-Grundschutz-Profil erleichtert den Einstieg in die Informationssicherheit. Es hilft dabei, die gröbsten Schwachstellen aufzudecken, sie zu beseitigen, und so möglichst schnell das Sicherheitsniveau in der Breite anzuheben.

Das IT-Grundschutz-Profil wurde von der Arbeitsgruppe kommunale Basis-Absicherung (AG koBa) der Kommunalen Spitzenverbände (Deutscher Städtetag, Deutscher Landkreistag, Deutscher Städte- und Gemeindebund) erstellt. In Ebenen-übergreifenden Verfahren und Anforderungen von Bund und Ländern, z. B. zu Wahlen und dem Zensus, wird zunehmend auf das IT-Grundschutz-Profil als Grundlage verwiesen.

Der Download über den verinice.SHOP enthält die Beispielorganisation (VNA-Datei) sowie die Anleitung im PDF-Format. Für die konkrete Arbeit mit dem IT-Grundschutz-Profil sollte das verinice-Handbuch beachtet werden, ebenso die Original-Version des Profils, das entweder in verinice (als Dateianhang im Wurzelobjekt über das Menü Ansicht >Zeige View… >Dateien) oder über die  Webseite des BSI im PDF-Format erhältlich ist.

Der für verinice verfügbare BSI-Mindeststandard "Nutzung externer Cloud-Dienste" hat ein Update bekommen. Die aktualisierte Version ist zum Import in verinice ab Version 1.21 und höher im verinice.SHOP verfügbar. Die Mindeststandards richten sich speziell an Bundesbehörden, können aber auch von anderen genutzt werden.

Das BSI verfolgt mit den Mindeststandards das Ziel, ein gemeinsames Mindestniveau an Informationssicherheit für die Bundesverwaltung zu definieren, das Bundesbehörden aus fachlicher Sicht nicht unterschreiten dürfen (vgl. die Publikation Mindeststandards Bund des BSI). Auch für die Nutzung externer Cloud-Dienste spielt die Informationssicherheit eine zentrale und zunehmend gewichtige Rolle, abhängig von unterschiedlichen Anwendungsbereichen und dem Schutzbedarf-Niveau der zu verarbeitenden Daten. Vor diesem Hintergrund hat das BSI zielgerichtete Sicherheitsanforderungen nach § 8 Abs. 1 BSIG als "Mindeststandard: Nutzung externer Cloud-Dienste" erarbeitet.

Die Umsetzung in verinice bietet Anwendenden zahlreiche Vorteile. So kann schnell ein Mindestsicherheitsniveau erreicht und die Informationssicherheit zentral in einem Tool verwaltet werden. Der Aufwand verringert sich, u.a. auch dadurch, dass sowohl Anforderungen als auch Umsetzungshinweise des Mindeststandards in einem Tool vorliegen. Auch der C5- Kriterienkatalog zur Überprüfung des Cloud-Anbieters (IT-Grundschutz-Kriterienkatalog Cloud Computing C5:2020) lässt sich nahtlos integrieren und der Baustein OPS.2.2 Cloud Nutzung des IT-Grundschutz-Kompendiums kombinieren. Anwendende können sich auf Modellierung und Umsetzung konzentrieren, weitere Mindeststandards dokumentieren und Reports erstellen.

Sie haben Fragen zu den Mindeststandards? Sprechen Sie gerne unser Team an. Per Mail an verinice@remove-this.sernet.de oder telefonisch unter 0551 37000 0.

Mit dem IT-Grundschutz-Profiler für verinice können ab sofort komfortabel eigene IT-Grundschutz-Profile erstellt, gepflegt und auch beim BSI eingereicht werden. Unternehmen oder Behörden können so unkompliziert mithilfe des Open-Source-ISMS-Werkzeugs IT-Grundschutz-Profile für bestimmte Anwendungsfälle erstellen und im Anschluss weiteren Interessierten bereitstellen. Das verinice-Team hat den IT-Grundschutz-Profiler als Zusatzprodukt für verinice veröffentlicht, er kann – kostenlos – über den verinice.SHOP bezogen werden.

Erarbeitet werden IT-Grundschutz-Profile von AnwenderInnen für AnwenderInnen – hierzu verinice zu nutzen, bietet einige Vorteile. So können die gesamten Inhalte, die ein Profil enthalten sollte, ohnehin in verinice verwaltet sowie auch extrahiert und weiterverarbeitet werden. Um aus den zentral gepflegten Daten ein eigenes IT-Grundschutz-Profil entsprechend der Anforderungen des BSI zu erstellen, muss nur der Beispielverbund des Profilers ergänzt werden. Das Händeln eines Papierdokuments und eine redundante Dokumentation entfallen zugunsten einer zentralen, toolbasierten Verwaltung.

Die einfache Erstellung und Pflege neuer IT-Grundschutz-Profile macht den verinice-Profiler interessant u.a. für Branchenverbände oder große Verbünde von Institutionen, insbesondere durch die einfache Freigabe-Möglichkeit und die Update-Optionen. So kann die mindestens einmal jährlich mit Release eines neuen IT-Grundschutz-Kompendiums erforderliche Überarbeitung der Profile durch die Update-Funktionalität problemlos ablaufen.

Sprechen Sie uns gerne an, wenn Sie weitere Informationen oder Hilfe bei der Erstellung eines IT-Grundschutz-Profils benötigen. In unserem YouTube-Kanal stehen bereits Videos für die Nutzung des IT-Grundschutz-Profilers bereit (u.a. IT-Grundschutz-Profile mit verinice erstellen).

Die vom BSI bereits veröffentlichten IT-Grundschutz-Profile sind für verinice einsatzbereit. Diese können ebenfalls kostenfrei im verinice.SHOP heruntergeladen werden.

Vergangene Woche wurde eine – mittlerweile als Spring4Shell bekannte – Schwachstelle im Spring-Framework entdeckt. Sie ist als CVE-2022-22965 registriert, technische Details finden Sie u.a. in diesem Artikel: https://snyk.io/blog/spring4shell-zero-day-rce-spring-framework-explained/

verinice.PRO ist nur unter bestimmten Voraussetzungen betroffen: Nur dann, wenn der verinice-REST-Service auf dem Server installiert ist. In einer Standardinstallation von verinice.PRO ist der verinice-REST-Service grundsätzlich nicht enthalten. Die verinice-Einzelplatzversion ist von dieser Schwachstelle gar nicht betroffen.

Da der verinice-REST-Service unter bestimmten Umständen von der Schwachstelle betroffen sein kann, hat das verinice-Team eine neue Version dieser Anwendung erstellt. Diese schließt die Schwachstelle und ist verfügbar über das verinice-GitHub-Repository: https://github.com/SerNet/verinice-rest-service/releases/tag/0.5. Wir empfehlen ein Update auf diese neue Version 0.5, wenn der verinice-REST-Service bei Ihnen installiert ist.

Bitte kontaktieren Sie unseren Support, wenn Sie weitere Fragen haben oder Hilfe benötigen.

International Organization for Standardization (ISO) und International Electrotechnical Commission (IEC) arbeiten an einer Aktualisierung der ISO/IEC 2700x-Familie. Die Veröffentlichung der ISO/IEC 27001:2022 steht voraussichtlich im Zeitraum Mai bis Oktober 2022 bevor – die überarbeitete ISO/IEC 27002:2022 ist seit 15. Februar 2022 verfügbar. Auch für verinice-Anwender*innen, die mit dem Open-Source-ISMS-Tool der SerNet GmbH ein ISMS nach ISO 27001 betreiben, werden sich Neuerungen ergeben.

Absehbar für die ISO/IEC 27001:2022 ist bereits: Während die Management-Anforderungen an das ISMS in den Kapiteln 4 bis 10 wenig Neues bieten, wurde der Annex A mit jetzt vier Kapiteln und 93 statt 114 normativen Controls umfassend überarbeitet.

Die Mitte Februar 2022 veröffentlichte "ISO 27002:2022 Information security, cybersecurity and privacy protection — Information security controls" enthält in nunmehr 4 statt wie bisher 14 Kapiteln Leitfäden für die Umsetzung der Controls zu organisatorischen, physischen, personellen und technischen Aspekten. Entscheidend ist hierbei, dass im Vergleich zur Vorgängerversion kein Control unverändert bleibt. Konkret ist ein Control entfallen, 56 Controls wurden zu 24 Controls zusammengefasst, 11 Controls sind neu und alle weiteren neu formuliert. Neu ist im Annex A auch die Berücksichtigung von Attributen zu Control Type, Information Security Properties, Cybersecurity Concepts, Operational Capabilities und Security Domains, der Annex B enthält schließlich ein Mapping der alten zu den neuen Controls.

Das verinice.TEAM arbeitet an der Umsetzung in verinice. Diese kann aber erst mit Veröffentlichung der zertifizierungsfähigen ISO/IEC 27001 umfassend erfolgen. Nach der finalen Veröffentlichung der neuen Versionen wird eine Übergangsfrist gelten, um das ISMS auf den neuesten Stand zu bringen. Das verinice-Team empfiehlt aber allen, die ein ISMS nach ISO 27001 betreiben, sich frühzeitig mit den Aktualisierungen auseinanderzusetzen und ggf. die verinice-Partner*innen unterstützend in die Migration einzubeziehen.

Die Aufzeichnungen der verinice.XP 2022 sind nun öffentlich verfügbar: Alle Vorträge sind im YouTube-Kanal des verinice-Teams zugänglich. Die Konferenz für Anwender*innen des OpenSource ISMS-Tools fand am 23. Februar 2022 statt. Ein Dank gilt nochmals den diesjährigen Sponsoren Cassini Consulting, KIX/c.a.p.e IT und der neam IT-Services GmbH.

Maximilian Stadler und Marc Drechsler (beide Cassini Consulting) sprachen in ihrem Impulsvortrag zum Thema "Mit ganzheitlicher Planung zu organisationaler Resilienz". Viktor Rechel (secuvera) referierte über Penetrationstests als Teil eines ISMS - Grundlagen, Relevanz und mögliche Ansätze. Der "Cloud Compliance in verinice – M365 Compliance Manager" widmete sich Christian Breitenstrom (UNeedSecurity) mit Fokus auf den Cloud Computing Compliance Controls Catalogue (C5), der als Zusatz-Modul für verinice bereitsteht. Horst Pittner (Secianus) nahm sich der Abbildung des iKfz3-Verfahrens in verinice als Lösung für die Darstellung der enormen Sicherheitsanforderungen an die Zulassungsstellen für den Betrieb der iKfz-Verfahren an. Die Möglichkeiten einer Analyse des IT-Grundschutzstandards mit Graphendatenbanken zeigte Alexander Kodermann (verinice-Team, SerNet) auf. Der zunehmenden Arbeitsbelastung von Compliance-Verantwortlichen schlägt er vor, mit Automatisierung zu begegnen und dafür neue Auswertungsmöglichkeiten und Erkenntnisse zu nutzen, die im Video mithilfe der Community-Version der Neo4J-Datenbank live präsentiert werden.

Die verinice.XP 2022 lieferte auch Einblicke in die weitere Entwicklung von verinice sowie die Planungen zu verinice.veo. Willem Rothe, der bei der SerNet GmbH den Vertrieb von verinice verantwortet, nahm sich in erster Linie der zweiten Generation des ISMS-Tools an (Link). verinice.veo wird das bisherige ISMS-Tool verinice innerhalb der nächsten fünf Jahre ablösen. Die Migration bestehender Modellierungen z.B. nach ISO 27001, BSI IT-Grundschutz oder VDA-ISA/TISAX ermöglicht Anwenderinnen und Anwendern dann einen direkten Umstieg auf die neue Generation des ISMS-Tools. Die Roadmap sowohl für das bestehende verinice als auch verinice.veo stellte verinice-Product-Owner Michael Flürenbrock vor. 

verinice.XP 2023

Für das kommende Jahr plant die SerNet GmbH nach zwei Remote-Events wieder eine Konferenz vor Ort. „Wir freuen uns darauf, hoffentlich wieder in den direkten Austausch zwischen Team und verinice-Anwendenden gehen zu können,“ so Nadine Dreymann, Organisatorin der verinice.XP. Die verinice.XP 2023 soll voraussichtlich wieder im Februar stattfinden. Über den genauen Termin sowie Call for Papers und Ticket-Verkauf informiert das Organisationskomitee zeitnah.

Die Edition 2022 des IT-Grundschutz-Kompendiums steht ab sofort für die Nutzung in verinice bereit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die neue Edition Anfang Februar veröffentlicht – das verinice.TEAM freut sich, den Anwender*innen nun das "IT-Grundschutz-Kompendium 10.0 Edition 2022" zum Einsatz in verinice zur Verfügung zu stellen. Erhältlich ist es über den verinice.SHOP.

Kompatibel ist die Kompendiums-Edition 2022 mit verinice ab Version 1.20.

Die Edition 2022 enthält mit 7 neuen und 14 geänderten nun insgesamt 104 Bausteine zur Umsetzung des IT-Grundschutzes. "Die Änderungen sind im Vergleich zur vorherigen Edition moderat," bewertet verinice-Product-Owner Michael Flürenbrock. Insbesondere in den Kreuzreferenztabellen habe das BSI aber viele Gefährdungen konkretisiert.

Anwender*innen wird angesichts der Neuerungen dringend empfohlen, die Erläuterungen in der Dokumentation zu beachten, die dem IT-Grundschutz-Kompendium sowie den Umsetzungshinweisen beiliegt. Den erläuternden Text stellt das Team auch im verinice-Forum zur Verfügung (zum Beitrag).

Neu: Umsetzungshinweise als separate Dateien

Da die Umsetzungshinweise als Hilfsmittel zum IT-Grundschutz-Kompendium vom BSI ab diesem Jahr fortlaufend veröffentlicht werden, stellt das verinice-Team diese ab sofort als separate Dateien zum Import zur Verfügung. Auch diese sind erhältlich über den verinice.SHOP.

Die einzelnen Umsetzungshinweise werden jeweils nach Editionen sortiert zur Verfügung gestellt. Folgende Editionen der Umsetzungshinweise sind im Shop oder Repository zu finden:

• Umsetzungshinweise aus der Edition 2019
• Umsetzungshinweise aus der Edition 2020
• Umsetzungshinweise aus der Edition 2021
• Umsetzungshinweise aus der Edition 2022

Das Orga-Komitee hat die Agenda für die verinice.XP veröffentlicht. Die Konferenz für Anwender*innen des OpenSource ISMS-Tools findet am 23. Februar 2022 statt – digital und kostenlos. Außerdem stellt das verinice-Team verinice.veo vor – das verinice der nächsten Generation. Tickets für die verinice.XP 2022 sind unter https://verinicexp.org erhältlich. Hier wird auch die ausführliche Agenda vorgestellt. Gesponsert wird die verinice.XP 2022 von Cassini Consulting, KIX/c.a.p.e IT und der neam IT-Services GmbH, Veranstalterin ist auch in diesem Jahr die SerNet GmbH.

Das Programm im Überblick

Mit "Neuerungen im B3S Gesundheitsversorgung im Krankenhaus sowie dem Starterpaket § 75c SGB V" eröffnet Marion Beck (Deutsche Krankenhausgesellschaft) den Konferenztag.  Einen praktischen Blick auf das "Security Management im Krankenhaus" und dafür die Integration der Open-Source-Tools verinice und KIX wirft Rico Barth (c.a.p.e IT).

Maximilian Stadler und Marc Drechsler (beide Cassini Consulting) liefern den Impulsvortrag "Mit ganzheitlicher Planung zu organisationaler Resilienz".  Über das "Zusammenspiel von Geheimschutz und Informationssicherheit" sowie den Nutzen von verinice dafür spricht Frederik von Zedlitz (Cassini Consulting).

Viktor Rechel (secuvera) referiert über Penetrationstests als Teil eines ISMS - Grundlagen, Relevanz und mögliche Ansätze. Der "Cloud Compliance in verinice – M365 Compliance Manager" widmet sich Christian Breitenstrom (UNeedSecurity) mit Fokus auf den Cloud Computing Compliance Controls Catalogue (C5), der als Zusatz-Modul  für verinice bereitsteht. Horst Pittner (Secianus) nimmt sich der Abbildung des iKfz3-Verfahrens in verinice als Lösung für die Darstellung der enormen Sicherheitsanforderungen an die Zulassungsstellen für den Betrieb der iKfz-Verfahren an. Die Möglichkeiten einer Analyse des IT-Grundschutzstandards mit Graphendatenbanken zeigt Alexander Kodermann (verinice-Team, SerNet) auf. Der zunehmenden Arbeitsbelastung von Compliance-Verantwortlichen schlägt er vor, mit Automatisierung zu begegnen und dafür neue Auswertungsmöglichkeiten und Erkenntnisse zu nutzen, die im Vortrag mithilfe der Community-Version der Neo4J-Datenbank live präsentiert werden.

Vorstellung verinice.veo - das verinice der nächsten Generation

Die verinice.XP ist die Gelegenheit, einen ersten Einblick in verinice.veo zu erhalten. SerNet arbeitet an der zweiten Generation des ISMS-Tools verinice und kombiniert dabei die fachlichen Stärken des bewährten ISMS-Tools mit neuester Webtechnologie als Software-as-a-Service Lösung (SaaS). Sirin Torun (SerNet / verinice.TEAM) wird den verinice.veo-Datenschutzmanager vorstellen. Das DSMS-Tool für webbasiertes Datenschutz-Management nach DSGVO wird in Kürze als erstes Produkt auf der neuen Plattform für Einzelnutzung in Unternehmen und Behörden angeboten.

verinice.veo wird das bisherige ISMS-Tool verinice innerhalb der nächsten fünf Jahre ablösen. Die Migration bestehender Modellierungen z.B. nach ISO 27001, BSI IT-Grundschutz oder VDA-ISA/TISAX ermöglicht Anwenderinnen und Anwendern dann einen direkten Umstieg auf die neue Generation des ISMS-Tools. Die Roadmap sowohl für das bestehende verinice als auch verinice.veo stellt Michael Flürenbrock vor.

Workshops am 22.02.

Am Vortag der Konferenz (Dienstag, 22. Februar 2022) sind außerdem Workshops zu den Themen Datenschutz und IT-Grundschutz mit verinice angesetzt. In kleinen Teilnehmergruppen sollen sie den intensiven Austausch mit Fachkolleg*innen und Referent*innen ermöglichen.

Die Kosten für die Teilnahme an einem der ganztägigen Workshops belaufen sich auf 450 Euro. Die Buchung ist über die Konferenzseite unter verinicexp.org möglich. Für die aktive Teilnahme an den Workshops wird eine aktuelle verinice-Einzelplatzversion zum Download bereitgestellt. Die Teilnahme ist unabhängig von der verinice.XP möglich.

Über die verinice.XP

Die verinice.XP bringt seit Jahren IT-Entscheider*innen, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden zusammen. Sie alle verbindet die Nutzung von verinice  für das Management der Informationssicherheit oder des Datenschutzes.