Neuigkeiten

Die Aufzeichnungen der verinice.XP 2022 sind nun öffentlich verfügbar: Alle Vorträge sind im YouTube-Kanal des verinice-Teams zugänglich. Die Konferenz für Anwender*innen des OpenSource ISMS-Tools fand am 23. Februar 2022 statt. Ein Dank gilt nochmals den diesjährigen Sponsoren Cassini Consulting, KIX/c.a.p.e IT und der neam IT-Services GmbH.

Maximilian Stadler und Marc Drechsler (beide Cassini Consulting) sprachen in ihrem Impulsvortrag zum Thema "Mit ganzheitlicher Planung zu organisationaler Resilienz". Viktor Rechel (secuvera) referierte über Penetrationstests als Teil eines ISMS - Grundlagen, Relevanz und mögliche Ansätze. Der "Cloud Compliance in verinice – M365 Compliance Manager" widmete sich Christian Breitenstrom (UNeedSecurity) mit Fokus auf den Cloud Computing Compliance Controls Catalogue (C5), der als Zusatz-Modul für verinice bereitsteht. Horst Pittner (Secianus) nahm sich der Abbildung des iKfz3-Verfahrens in verinice als Lösung für die Darstellung der enormen Sicherheitsanforderungen an die Zulassungsstellen für den Betrieb der iKfz-Verfahren an. Die Möglichkeiten einer Analyse des IT-Grundschutzstandards mit Graphendatenbanken zeigte Alexander Kodermann (verinice-Team, SerNet) auf. Der zunehmenden Arbeitsbelastung von Compliance-Verantwortlichen schlägt er vor, mit Automatisierung zu begegnen und dafür neue Auswertungsmöglichkeiten und Erkenntnisse zu nutzen, die im Video mithilfe der Community-Version der Neo4J-Datenbank live präsentiert werden.

Die verinice.XP 2022 lieferte auch Einblicke in die weitere Entwicklung von verinice sowie die Planungen zu verinice.veo. Willem Rothe, der bei der SerNet GmbH den Vertrieb von verinice verantwortet, nahm sich in erster Linie der zweiten Generation des ISMS-Tools an (Link). verinice.veo wird das bisherige ISMS-Tool verinice innerhalb der nächsten fünf Jahre ablösen. Die Migration bestehender Modellierungen z.B. nach ISO 27001, BSI IT-Grundschutz oder VDA-ISA/TISAX ermöglicht Anwenderinnen und Anwendern dann einen direkten Umstieg auf die neue Generation des ISMS-Tools. Die Roadmap sowohl für das bestehende verinice als auch verinice.veo stellte verinice-Product-Owner Michael Flürenbrock vor. 

verinice.XP 2023

Für das kommende Jahr plant die SerNet GmbH nach zwei Remote-Events wieder eine Konferenz vor Ort. „Wir freuen uns darauf, hoffentlich wieder in den direkten Austausch zwischen Team und verinice-Anwendenden gehen zu können,“ so Nadine Dreymann, Organisatorin der verinice.XP. Die verinice.XP 2023 soll voraussichtlich wieder im Februar stattfinden. Über den genauen Termin sowie Call for Papers und Ticket-Verkauf informiert das Organisationskomitee zeitnah.

Die Edition 2022 des IT-Grundschutz-Kompendiums steht ab sofort für die Nutzung in verinice bereit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die neue Edition Anfang Februar veröffentlicht – das verinice.TEAM freut sich, den Anwender*innen nun das "IT-Grundschutz-Kompendium 10.0 Edition 2022" zum Einsatz in verinice zur Verfügung zu stellen. Erhältlich ist es über den verinice.SHOP.

Kompatibel ist die Kompendiums-Edition 2022 mit verinice ab Version 1.20.

Die Edition 2022 enthält mit 7 neuen und 14 geänderten nun insgesamt 104 Bausteine zur Umsetzung des IT-Grundschutzes. "Die Änderungen sind im Vergleich zur vorherigen Edition moderat," bewertet verinice-Product-Owner Michael Flürenbrock. Insbesondere in den Kreuzreferenztabellen habe das BSI aber viele Gefährdungen konkretisiert.

Anwender*innen wird angesichts der Neuerungen dringend empfohlen, die Erläuterungen in der Dokumentation zu beachten, die dem IT-Grundschutz-Kompendium sowie den Umsetzungshinweisen beiliegt. Den erläuternden Text stellt das Team auch im verinice-Forum zur Verfügung (zum Beitrag).

Neu: Umsetzungshinweise als separate Dateien

Da die Umsetzungshinweise als Hilfsmittel zum IT-Grundschutz-Kompendium vom BSI ab diesem Jahr fortlaufend veröffentlicht werden, stellt das verinice-Team diese ab sofort als separate Dateien zum Import zur Verfügung. Auch diese sind erhältlich über den verinice.SHOP.

Die einzelnen Umsetzungshinweise werden jeweils nach Editionen sortiert zur Verfügung gestellt. Folgende Editionen der Umsetzungshinweise sind im Shop oder Repository zu finden:

• Umsetzungshinweise aus der Edition 2019
• Umsetzungshinweise aus der Edition 2020
• Umsetzungshinweise aus der Edition 2021
• Umsetzungshinweise aus der Edition 2022

Das Orga-Komitee hat die Agenda für die verinice.XP veröffentlicht. Die Konferenz für Anwender*innen des OpenSource ISMS-Tools findet am 23. Februar 2022 statt – digital und kostenlos. Außerdem stellt das verinice-Team verinice.veo vor – das verinice der nächsten Generation. Tickets für die verinice.XP 2022 sind unter https://verinicexp.org erhältlich. Hier wird auch die ausführliche Agenda vorgestellt. Gesponsert wird die verinice.XP 2022 von Cassini Consulting, KIX/c.a.p.e IT und der neam IT-Services GmbH, Veranstalterin ist auch in diesem Jahr die SerNet GmbH.

Das Programm im Überblick

Mit "Neuerungen im B3S Gesundheitsversorgung im Krankenhaus sowie dem Starterpaket § 75c SGB V" eröffnet Marion Beck (Deutsche Krankenhausgesellschaft) den Konferenztag.  Einen praktischen Blick auf das "Security Management im Krankenhaus" und dafür die Integration der Open-Source-Tools verinice und KIX wirft Rico Barth (c.a.p.e IT).

Maximilian Stadler und Marc Drechsler (beide Cassini Consulting) liefern den Impulsvortrag "Mit ganzheitlicher Planung zu organisationaler Resilienz".  Über das "Zusammenspiel von Geheimschutz und Informationssicherheit" sowie den Nutzen von verinice dafür spricht Frederik von Zedlitz (Cassini Consulting).

Viktor Rechel (secuvera) referiert über Penetrationstests als Teil eines ISMS - Grundlagen, Relevanz und mögliche Ansätze. Der "Cloud Compliance in verinice – M365 Compliance Manager" widmet sich Christian Breitenstrom (UNeedSecurity) mit Fokus auf den Cloud Computing Compliance Controls Catalogue (C5), der als Zusatz-Modul  für verinice bereitsteht. Horst Pittner (Secianus) nimmt sich der Abbildung des iKfz3-Verfahrens in verinice als Lösung für die Darstellung der enormen Sicherheitsanforderungen an die Zulassungsstellen für den Betrieb der iKfz-Verfahren an. Die Möglichkeiten einer Analyse des IT-Grundschutzstandards mit Graphendatenbanken zeigt Alexander Kodermann (verinice-Team, SerNet) auf. Der zunehmenden Arbeitsbelastung von Compliance-Verantwortlichen schlägt er vor, mit Automatisierung zu begegnen und dafür neue Auswertungsmöglichkeiten und Erkenntnisse zu nutzen, die im Vortrag mithilfe der Community-Version der Neo4J-Datenbank live präsentiert werden.

Vorstellung verinice.veo - das verinice der nächsten Generation

Die verinice.XP ist die Gelegenheit, einen ersten Einblick in verinice.veo zu erhalten. SerNet arbeitet an der zweiten Generation des ISMS-Tools verinice und kombiniert dabei die fachlichen Stärken des bewährten ISMS-Tools mit neuester Webtechnologie als Software-as-a-Service Lösung (SaaS). Sirin Torun (SerNet / verinice.TEAM) wird den verinice.veo-Datenschutzmanager vorstellen. Das DSMS-Tool für webbasiertes Datenschutz-Management nach DSGVO wird in Kürze als erstes Produkt auf der neuen Plattform für Einzelnutzung in Unternehmen und Behörden angeboten.

verinice.veo wird das bisherige ISMS-Tool verinice innerhalb der nächsten fünf Jahre ablösen. Die Migration bestehender Modellierungen z.B. nach ISO 27001, BSI IT-Grundschutz oder VDA-ISA/TISAX ermöglicht Anwenderinnen und Anwendern dann einen direkten Umstieg auf die neue Generation des ISMS-Tools. Die Roadmap sowohl für das bestehende verinice als auch verinice.veo stellt Michael Flürenbrock vor.

Workshops am 22.02.

Am Vortag der Konferenz (Dienstag, 22. Februar 2022) sind außerdem Workshops zu den Themen Datenschutz und IT-Grundschutz mit verinice angesetzt. In kleinen Teilnehmergruppen sollen sie den intensiven Austausch mit Fachkolleg*innen und Referent*innen ermöglichen.

Die Kosten für die Teilnahme an einem der ganztägigen Workshops belaufen sich auf 450 Euro. Die Buchung ist über die Konferenzseite unter verinicexp.org möglich. Für die aktive Teilnahme an den Workshops wird eine aktuelle verinice-Einzelplatzversion zum Download bereitgestellt. Die Teilnahme ist unabhängig von der verinice.XP möglich.

Über die verinice.XP

Die verinice.XP bringt seit Jahren IT-Entscheider*innen, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden zusammen. Sie alle verbindet die Nutzung von verinice  für das Management der Informationssicherheit oder des Datenschutzes.

Am 22. Februar 2022 bietet das verinice.TEAM zwei ganztägige Workshops an, die sich mit dem modernisierten IT-Grundschutz bzw. dem Datenschutz in verinice beschäftigen. Die Workshops sind Teil des Rahmenprogramms der verinice.XP, die in diesem Jahr als eintägige, digitale Konferenz am 23. Februar 2022 stattfindet (Anmeldung hier möglich).

Die Kosten für die Teilnahme an einem der ganztägigen Workshops belaufen sich auf 450 Euro. Die Buchung ist über die Konferenzseite unter verinicexp.org möglich. Eine Teilnahme an der verinice.XP selbst ist nicht vorausgesetzt. Für die aktive Teilnahme an den Workshops wird eine aktuelle verinice-Einzelplatzversion zum Download bereitgestellt.

Den Workshop "Umsetzung des modernisierten Grundschutzes in verinice" leitet verinice-Partner Ulf Riechen (Riechen Consulting). Ziel ist es, ein ISMS für eine einfache Institution mit verinice zu dokumentieren. Dazu werden zunächst nach der Vorgehensweise des BSI-Standards 200-2 die Struktur des Informationsverbundes in verinice erstellt, die Zielobjekte verknüpft und der Schutzbedarf dokumentiert. Nach der Modellierung der erforderlichen Prozess- und System-Bausteine erfolgt für ausgewählte Objekte ein Grundschutz-Check, der den Stand der Umsetzung der Grundschutz-Anforderungen in verinice dokumentieren soll. Anschließend wird für ein Zielobjekt eine Risikoanalyse nach BSI-Standard 200-3 in verinice dokumentiert. Hierfür kommt auch ein benutzerdefinierter Baustein zum Einsatz. Abschließend können die für die Zertifizierung erforderlichen Referenzdokumente A1 bis A6 als Report erzeugt werden.

Die Teilnehmer*innen sollten Grundkenntnisse in Informationssicherheit mitbringen. Kenntnisse der Bedienung von verinice werden nicht vorausgesetzt.

Sirin Torun, verinice-Consultant und Expertin für Datenschutz, bietet den Workshop "Umsetzung der EU-DSGVO mit verinice" an.  Die Teilnehmer*innen lernen, wie sie mit dem Datenschutzmodul in verinice ihren Dokumentations- und Rechenschaftspflichten nach Art 5. Abs.2 DSGVO nachkommen können. Themen sind dabei u.a. Verzeichnis der Verarbeitungstätigkeiten, Dokumentation der technischen und organisatorischen Maßnahmen, Auftragsverarbeitung, Durchführungder Datenschutz-Folgenabschätzung sowie die Dokumentation von Datenschutzvorfällen. Teilnehmer*innen sollten Grundkenntnisse in der Bedienung von verinice mitbringen. 

ACHTUNG: Der Release-Termin von verinice 1.24 musste auf Mitte Mai verlegt werden.

Das verinice-Team plant die Veröffentlichung von Version 1.24 fürEnde April 2022. Der Feature-Freeze erfolgt Anfang April, um eine ausführliche Testphase zu gewährleisten. Anwendende können sich mit dem Team im Community-Bereich über verinice 1.24 wie auch weitere anstehende Versionen austauschen. Außerdem können sie dort selbst neue Funktionen vorschlagen oder Details zu bereits vorgeschlagenen Funktionen diskutieren.

Gerne unterstützen wir Sie im Rahmen eines Support-Vertrags oder eines Support-Budgets bei einem Update auf verinice 1.24. Bitte kontaktieren Sie uns dazu frühzeitig, um einen Termin zu vereinbaren.

Unabhängig vom Release soll das neue IT-Grundschutz-Kompendium des BSI direkt nach dessen Veröffentlichung auch für verinice bereit gestellt werden. Voraussichtlicher Zeitraum hierfür ist Anfang Februar 2022.

Zur auch in diesem Jahr digital stattfindenden verinice.XP (23. & 24. Februar 2022) stellt das verinice-Team außerdem die erste Version von verinice.veo vor. 

Aufgrund der aktuellen Corona-Entwicklungen hat sich das Organisations-Team entschlossen, die verinice.XP 2022 als Online-Event zu veranstalten. Die Teilnahme an der digitalen Konferenz am 23. & 24. Februar 2022 ist kostenlos möglich. Eine Anmeldung ist unter https://verinicexp.org  möglich. Das Programm wird Ende 2021 veröffentlicht.

Vortragsvorschläge können noch bs zum 17.12. ebenfalls unter https://verinicexp.org oder per E-Mail an cfp@remove-this.verinicexp.org eingereicht werden.

Am Vortag der Konferenz (Dienstag, 22. Februar 2022) sind außerdem Workshops zu verschiedenen verinice-Themen geplant. Auch diese werden online stattfinden. Über das Workshop-Programm informieren wir in Kürze. Die Teilnahme ist unabhängig von der verinice.XP möglich.

In der vergangenen Woche wurde eine kritische Schwachstelle in der viel genutzten Logging-Bibliothek log4j 2 bekannt. Die im verinice.PRO-Server enthaltenen log4j-Versionen sind von der Schwachstelle nicht betroffen!

Die Schwachstelle wird u.a. in diesem Artikel beschrieben: Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package und hat die CVS-Nummer CVE-2021-44228 erhalten.

Weitere Informationen finden Sie in unserem verinice-Forum: https://forum.verinice.com/t/verinice-nicht-betroffen-von-log4j-schwachstelle/ Dort halten wir Sie auch zu weiteren Entwicklungen auf dem Laufenden.

Auf einem verinice.PRO-System können außerdem andere Java-Anwendungen in Tomcat vorhanden sein, die nicht vom verinice-Team installiert wurden. Da diese Anwendungen möglicherweise betroffene log4j-Versionen enthalten, empfiehlt das Team einen Parameter in die Tomcat-Konfiguration aufzunehmen, der das Ausnutzen der Schwachstelle in anderen Anwendungen verhindert. Auch hierzu finden Sie die Details in unserem Foren-Eintrag: https://forum.verinice.com/t/verinice-nicht-betroffen-von-log4j-schwachstelle/

Setzen Sie sich bei weiteren Fragen gerne mit unserem Team in Verbindung.

Update (15.12.2021): Aufgrund der aktuellen Corona-Entwicklungen hat sich das Organisations-Team entschlossen, die verinice.XP 2022 als Online-Event am 23. Februar 2022 zu veranstalten. Die Teilnahme an der digitalen Konferenz ist kostenlos möglich. 

Die nächste verinice.XP findet am 23. Februar 2022 statt – vor Ort in Berlin im Radisson Blu Hotel. Organisatorin SerNet freut sich auf den direkten Austausch und das Zusammentreffen der verinice-Community.

Early-Bird-Tickets zum Preis von 399 Euro sind bereits auf der Konferenz-Seite unter https://verinicexp.org  erhältlich. Das Programm wird Ende 2021 veröffentlicht.

Vortragsvorschläge können ab sofort unter https://verinicexp.org oder per E-Mail an cfp@remove-this.verinicexp.org eingereicht werden. Das verinice.XP-Team und das Programmkommitee sichten die Beiträge – insbesondere Fallstudien zum Einsatz von verinice sind beliebte Vortragsinhalte.

Workshops am 22.02.

Am Vortag der Konferenz (Dienstag, 22. Februar 2022) sind außerdem Workshops zu verschiedenen verinice-Themen geplant. In kleinen Teilnehmergruppen sollen sie den intensiven Austausch mit FachkollegInnen und ReferentInnen ermöglichen. Das Workshop-Programm veröffentlichen wir in Kürze. Die Teilnahme ist unabhängig von der verinice.XP möglich.

Über die verinice.XP

Die verinice.XP bringt seit Jahren IT-EntscheiderInnen, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden zusammen. Sie alle verbindet die Nutzung von verinice  für das Management der Informationssicherheit oder das Datenschutz-Management. Ein Social Event wird voraussichtlich am Abend des 23. Februar 2021 im Konferenzhotel stattfinden. Über die Details – vor allem unter Berücksichtigung der dann gültigen Corona-Auflagen – informieren wir Sie noch.

Ab sofort steht verinice in Version 1.23.1 zum Download im verinice.SHOP zur Verfügung.

Dieses Update für verinice behebt einen Fehler beim Kopieren von Objekten. In der Einzelplatzversion von verinice 1.22.2 und 1.23 konnte die Funktion "Kopieren mit Verknüpfungen" nicht ausgeführt werden. Das Aufrufen der Funktion ist in der Version 1.23.1 wieder möglich.

verinice.PRO war von dem Fehler nicht betroffen. Im Betriebsmodus "Server" lässt sich die Funktion "Kopieren mit Verknüpfungen" auch in älteren Versionen fehlerfrei ausführen. Im Kundenrepository werden daher keine neuen verinice.PRO Pakete für die 1.23.1 veröffentlicht. Auf dem Server können weiterhin die Pakete für 1.23.0 verwendet werden.

Bitte beachten Sie für alle weiteren Informationen die ausführlichen Release Notes der Version 1.23.x.

Ab sofort stehen verinice und verinice.PRO in Version 1.23 zum  Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung. Das verinice.TEAM liefert mit verinice 1.23 mehr als 30 neue Funktionen, Detailänderungen und Fehlerbehebungen aus. Ausführlich sind diese in den Release Notes beschrieben.

Unter anderem verwendet verinice 1.23 jetzt Java 11. Das mit dem Client ausgelieferte Java Runtime Environment (JRE) von Adoptium (ehemals AdoptOpenJDK) wurde auf die neueste Version aktualisiert. Dazu sind in den Release Notes Update-Hinweise aufgeführt, die unbedingt beachtet werden müssen.

Zur Unterstützung neuerer Betriebssysteme wurde auf das RCP-Framework 2021-06 (4.20) aktualisiert. verinice bietet damit insbesondere eine bessere Unterstützung des Betriebssystems macOS Big Sur.

Sollten Sie Fragen haben oder Hilfe beim Update benötigen, kontaktieren Sie uns gerne – u.a. per E-Mail an verinice@remove-this.sernet.de. Auch im Forum können Sie sich gerne mit anderen Nutzerinnen und Nutzern sowie dem verinice-Team austauschen.