Neuigkeiten rund um verinice.

Neue Termine für verinice-Webinare sind verfügbar. Auch im zweiten Halbjahr 2023 bietet das verinice.TEAM damit die Möglichkeit, das Werkzeug für Informationssicherheits-Management kennenzulernen und Fragen direkt an die verinice-Macher*innen zu stellen.

Webinare zu diesen Themen sind geplant:

• IT-Grundschutz in verinice.PRO
• ISO 27001 in verinice.PRO
• Das Datenschutzmodul nach EU-DSGVO in verinice
• Datenschutz mit dem neuen verinice.DSMS (verinice.veo).

Die Durchführung erfolgt mittels GoTo Webinar. Weitere Hinweise dazu finden Sie auch auf unserer Webinar-Infoseite.

Das verinice.TEAM hat außerdem Webinare aufgezeichnet: Interessent*innen können auch diese ansehen, um einen ersten Einblick in das ISMS-Tool und das konkrete Umsetzungsszenario zu erhalten. Alle Videos sind auf verinice.com/media zusammengestellt. Fragen können Sie an verinice@remove-this.sernet.de richten. 

Das verinice Datenschutzmodul für den IT-Grundschutz ist jetzt in Version 3.3 verfügbar und damit angepasst für die Edition 2023 des IT-Grundschutz-Kompendiums. Ebenso wie die vorausgehenden Versionen, bettet das Datenschutzmodul 3.3 für den IT-Grundschutz die EU-weite rechtskonforme Dokumentation der DSGVO in die Vorgehensweise des modernisierten IT-Grundschutz nach den BSI-Standards der 200er-Reihe in verinice ein. 

Die neue Version ist über den verinice.SHOP als zusätzliches Modul zu beziehen. Für verinice.PRO-Anwendende ist Version 3.3 im Repository verfügbar.

Das Datenschutzmodul 3.3 für den IT-Grundschutz ist verwendbar ab verinice 1.19 oder höher. Zum Einsatz kommt es in der Perspektive Modernisierter IT-Grundschutz.

Ab sofort stehen verinice und verinice.PRO in Version 1.26 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung. Das verinice.TEAM stellt mit dem Release neue Funktionen, Detailänderungen und Fehlerbehebungen bereit. Die Unterstützung für die neue ISO/IEC 27001:2022 ist wichtigstes neues Feature. Details enthalten die vollständigen Release Notes.

Das Team plant, den neuen verinice-Risikokatalog mit den relevanten Inhalten der ISO 27001-Familie zeitnah zu veröfffentlichen. Parallel wurde die Anpassung der Risikoanalyse in der Perspektive ISM/ISO vereinfacht. In den zugehörigen Report-Vorlagen können jetzt die Risikomatrizen für Vertraulichkeit, Integrität und Verfügbarkeit angepasst werden.

Als Teil der Produktpflege sind mit verinice 1.26 neben zahlreichen Detailverbesserungen und Fehlerbehebungen auch die Rich Client Platform (RCP) und das Java Development Kits (JDK) auf neusten Stand gebracht.

Neben der Neuauflage des Risikokatalogs soll auch das Datenschutzmodul mit IT-Grundschutz-Kompendium Edition 2023 in Kürze zur Verfügung stehen.

Neben der Entwicklung des klassischen verinice arbeitet SerNet intensiv an der neuen Plattform verinice.veo, die mit dem ersten Produkt verinice DSMS an den Start gegangen ist. Erfahren Sie mehr zum vollständig webbasierten Datenschutz-Manager und testen Sie unsere nächste Tool-Generation einen Monat lang kostenlos: Mehr finden Sie unter verinice.com/veo oder Sie kontaktieren direkt unseren Vertrieb unter vertrieb@remove-this.sernet.de.

Das verinice-Team arbeitet nicht nur an der Weiterentwicklung der Fachanwendung sondern erschließt sich auch immer wieder neue Gebiete. Unter anderem hat sich Alexander Koderman, Entwickler und verinice-Erfinder der ersten Stunde, intensiv mit Graphendatenbanken auseinandergesetzt. Gemeinsam mit Mirko Prehn hat er den Artikel "Der Einsatz von Graphdatenbanken in der Compliance-Automatisierung" in der Ausgabe 36/Dezember 2022 im Magazin IT-Governance veröffentlicht, der Fachzeitschrift des ISACA Germany Chapter e.V.. Diesen stellen wir hier als PDF-Sonderausgabe zur Verfügung (kompletten Artikel lesen).

Aus dem Inhalt: Moderne Graphdatenbanken eignen sich hervorragend zur Lösung typischer Herausforderungen im Compliance-Management. Sie las- sen sich perfekt mit den aktuellen Entwicklungen bei maschinenles- baren Formaten wie dem kürzlich fertiggestellten OSCAL-Standard kombinieren. Einige Herausforderungen bleiben jedoch bestehen.

Bei der Konferenz GraphConnect 2022 stellte Koderman außerdem "Cybersecurity Automation with OSCAL and Neo4J" vor. Der Vortrag wurde aufgezeichnet und kann bei YouTube angesehen werden: https://youtu.be/FVCFmSIsYic

Die Aufzeichnungen von der verinice.XP 2023 sind online: Im YouTube-Kanal des verinice-Teams sind die Vorträge ab sofort abrufbar. Die verinice.XP ist die jährliche Fachkonferenz für Anwendende des ISMS-Tools und  fand in diesem Jahr am 22. & 23. Februar im Hotel Freizeit In, Göttingen statt.

Das sind die verfügbaren Videos:

• Aktuelles zur IT-Sicherheitslage von Isabel Münch (BSI)
• Chefsache Informationssicherheit von Ulf Riechen (Riechen Consulting)
• Die neue ISO 27001 – Was kommt auf uns zu? von Ann-Kathrin Udvary und Björn Lemberg (secuvera GmbH)
• Von verinice nach Visio und zurück von Thomas Lundström (SoftEd Systems GmbH)
• Kurzvorstellung Vorfall-Experte BSI von David Oster (neam IT Services GmbH)
• Integration der Informationssicherheit Ulf Riechen (Riechen Consulting)
• The next Generation of ISMS – ISO27001:2022/ISO27005:2022 von Sven Perscheid (Cassini Consulting AG)
• Jeder Standard ein Tool? Nicht zwingend! von Dirk Brand (sila consulting GmbH)
• Service für IT, Medizin- und Haustechnik im Gesundheitswesen von Rico Barth (c.a.p.e. IT GmbH)
• verinice.veo und ChatGPT von Alexander Koderman (verinice-Team, SerNet GmbH)
• verinice Roadmap von Michael Flürenbrock (verinice-Product-Owner, SerNet GmbH)

Das Orga-Team zeigt sich ausgesprochen zufrieden mit der Konferenz. Alma Altergott (Event-Marketing) und Nadine Dreymann (Head of Marketing) konnten nach mehreren Remote-Events erstmals wieder eine Veranstaltung vor Ort ausrichten. Das persönliche Zusammentreffen, die direkten Gespräche und das Networking seien von allen besonders positiv empfunden worden, berichten beide. Dreymann abschließend: "Unser besonderer Dank geht noch einmal an die diesjährigen Sponsoren Cassini Consulting AG, cape IT GmbH und neam IT-Services GmbH. Wir freuen uns schon auf nächstes Jahr!"

Die aktuelle Version 1.2 des Branchenspezifischen Sicherheitsstandards (B3S) für die Gesundheitsversorgung im Krankenhaus ist für verinice verfügbar. Das verinice-Team stellt die überarbeitete Version im verinice.SHOP sowie im verinice.PRO-Repository zur Verfügung. Der Lieferumfang beinhaltet neben der aktuell gültigen Fassung des B3S auch die Vorversion sowie eine Mappingtabelle der Anforderungen. Weiterhin ist die Umsetzung sowohl in der IT-Grunschutz- als auch der ISO/ISM-Perspektive möglich. 

Die detaillierte Mappingtabelle ist vor allem für Anwender*innen gedacht, die auf die Version 1.2 migrieren möchten. Das verinice-Team hat sie erarbeitet, um einen leichteren Umstieg zu ermöglichen: Die Änderungen bei den Anforderungen wurden dazu im Detail analysiert, kategorisiert und tabellarisch aufgelistet

Sollten Sie Fragen zur Migration auf Version 1.2 des B3S Gesundheitsversorgung im Krankenhausoder generell zum Einsatz des B3S haben, kontaktieren Sie uns gerne. Auch im verinice.FORUM können Sie jederzeit Fragen stellen und erhalten sowohl durch die verinice-Community als auch das Team wertvolle Hinweise.

Zum Hintergrund:

Die Sicherheit informationstechnischer Systeme in Krankenhäusern muss dauerhaft gewährleistet sein, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz. Erarbeitet hat sie ihn in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Eignung des B3S für die Gesundheitsversorgung im Krankenhaus in der Version 1.2 (Stand: 8.12.2022) für die Einhaltung der gesetzlich geforderten Maßnahmen festgestellt.

Die verinice.XP 2023 war Ende Februar Treffpunkt für Anwenderinnen und Anwender des ISMS-Tools verinice. Als besonderes Highlight zeigte sich ein Bericht von Alexander Koderman (verinice.TEAM / SerNet GmbH) direkt aus dem verinice-Labor: Die Integration von ChatGPT in die neue Plattform verinice.veo mit dem veo-Copiloten als Browser-Plugin. Den zugehörigen Code hat Koderman auf GitHub veröffentlicht: https://github.com/Agh42/veo-copilot

Den gesamten Vortrag gibt es unter https://verinice.com/chatgpt zu sehen. Darin räumte Koderman auch gleich mit einem häufigen Missverständnis im Umgang mit Sprachmodellen auf, das sich mit dem nötigen Hintergrundwissen und der richtigen Anfrage lösen lässt. 

Koderman stellt den enormen Fortschritt von Sprachmodellen heraus, den alle in den vergangenen Wochen und Monaten beobachten konnten. Nicht nur Rätsel können sie nun schneller lösen als Menschen sie überhaupt lesen. Auch die dahinterliegenden Konzepte verarbeiten ChatGPT und Co. mittlerweile. Die Auswirkungen von KI auf das Informationssicherheitsmanagement seien entsprechend weitreichend: „Die Art und Weise, wie wir Cybersicherheitsrisiken analysieren, Maßnahmen einführen und die Einhaltung von Compliance gewährleisten, wird sich dramatisch verändern.“ Der Einsatz von KI-gestützten Tools im Informationssicherheitsmanagement habe das Potenzial, die Effizienz und Effektivität der Arbeit erheblich zu verbessern.

"veo Copilot" als Browser-Plugin

Auch für verinice sieht Koderman viel Potenzial: „Die fortschreitende Entwicklung und Erweiterung von Sprachmodellen stellt uns als Tool-Entwickler vor Herausforderungen und Chancen: Wie können wir natürlichsprachliche Schnittstellen in herkömmliche Benutzeroberflächen einbinden? In den kommenden Monaten werden wir diese Fragen beantworten und verinice.veo um spannende neue Funktionen erweitern.“

Eine erste Antwort ist als Experiment bereits verfügbar: Der veo-Copilot als Browser-Plugin. Mit diesem kann im ab sofort verfügbaren, webbasierten verinice DSMS getestet und gespielt werden. Koderman demonstriert in seinem Vortrag nicht nur, wie das funktioniert, sondern gibt bei dieser Gelegenheit auch gleich einen kleinen Einblick in das verinice der neusten Generation. Mittlerweile nutzt der Copilot auch das aktuelle Sprachmodell hinter ChatGPT, das jetzt über die OpenAI-API verfügbar ist.

Weitere Aufzeichnungen der verinice.XP 2023 werden nach und nach im verinice-YouTube-Kanal veröffentlicht: https://www.youtube.com/c/verinice

verinice ermöglicht die Arbeit an einem Notfallmanagement-System bzw. Business Continuity Management System (BCMS) nach BSI-Standard 200-4 oder ISO 22301.  Für die BSI-Perspektive steht nun ein Beispielverbund zur Verfügung, für die ISM-Perspektive  eine Beispielorganisation: Die Abbildung von BCM-relevanten Aspekten macht Anwendende mit den Neuerungen rund um das Thema BCM mit verinice vertraut und erleichtert den Einstieg. Beide sind kostenlos über den verinice.SHOP zu beziehen.

Die BCM-Erweiterungen in verinice ermöglichen neben der Abbildung des ISMS auch die Etablierung eines BCMS (mehr dazu unter verinice.com/bcm). verinice unterstützt Nutzerinnen und Nutzer während des gesamten PDCA-Zyklus. Für die jeweilige Perspektive stehen auch Videos im YouTube-Channel des verinice-Teams zur Verfügung, die Schritt für Schritt das jeweilige Vorgehen zeigen.

Sie haben weitere Fragen zum BCM mit verinice? Nutzen Sie gerne das verinice-Forum oder kontaktieren Sie unser Vertriebs-Team.

Das bieten BCM-Beispielverbund bzw -organisation:

Die Daten kommen in der Form einer .VNA-Datei zum Import in verinice ab Version 1.25 und höher. Inkludiert sind ein Beispielverbund bzw. eine Beispielorganisation mit Beispieldaten für ein BCMS mit  folgendem Umfang:

1. Bei der Initiierung, Konzeption und Planung des BCM/BCMS

   • Bestimmung der Grenzen und Anwendbarkeit des BCMS

   • Festlegung des Anwendungsbereichs des BCMS

   • Analyse von erweiterten Rahmenbedingungen / Kontext der Organisation (bspw. Interessengruppen-Analyse)

   • Definition der BCM-Aufbau-Organisation

   • Zuweisen und Sicherstellung von Verantwortlichkeiten für relevante Rollen

   • Dokumentation der BC-relevanten Dokumente

2. Bei der Umsetzung einer angemessenen Absicherung der Geschäftsprozesse

   • Durchführung der Business Impact Analyse (BIA)

   • Vorbereitung eines Soll-Ist-Vergleichs

   • Risikomanagement mit Risikoanalyse nach BSI-Standard 200-3 bzw. ISO 27005

   • Verwalten von Business-Continuity-Strategien / -Lösungen

3. Bei der Leistungsüberprüfung und Berichterstattung

   • BCM-Reporting: Auswertung der BIA-Parameter (MTPD, RTO, RPO) oder Ihrer kritischen Geschäftsprozesse

   • Erfassung und Auswertung von BCM-relevanten Kennzahlen

4. Bei der Korrektur und Verbesserung des BCMS

   • Verwaltung von abgeleiteten Maßnahmen, z.b. Korrektur- und Verbesserungsmaßnahmen

   • Erstellung eines BCM-Maßnahmenplans

Das IT-Grundschutz-Kompendium Edition 2023 ist für verinice verfügbar: Das verinice-Team hat die vom BSI veröffentlichte Edition für die Nutzung im ISMS-Tool aufbereitet. Sie steht den Anwendenden ab sofort als "IT-Grundschutz-Kompendium 11.0 Edition 2023" bereit. Erhältlich ist die neue Edition kostenlos über den verinice.SHOP bzw. im Update-Repository für verinice.PRO.

Die aktuelle Kompendiums-Edition ist für den Einsatz  in verinice ab Version 1.22 vorgesehen und enthält

• alle Bausteine und elementaren Gefährdungen zur Modellierung von Informationsverbünden in verinice,
• alle Texte der Anforderungen und elementaren Gefährdungen zur Betrachtung im Objektbrowser.

Das Update von Informationsverbünden, die mit einer vorherigen Edition des IT-Grundschutz-Kompendiums modelliert wurden, ist möglich.

Ein erläuterndes Video ist im YouTube-Kanal des verinice-Teams zu finden. Austausch der Community ist im verinice.FORUM gern gesehen.

Zum Hintergrund

Das IT-Grundschutz-Kompendium ist die grundlegende Veröffentlichung des  Bundesamt für Sicherheit in der Informationstechnik für den IT-Grundschutze. Im Fokus stehen die sogenannten IT-Grundschutz-Bausteine. In diesen Texten wird jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche Gefährdungen erläutert, im Anschluss wichtige Sicherheitsanforderungen. Die IT-Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt und reichen thematisch von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS).

Vertiefende Informationen dazu, wie einzelne Maßnahmen umgesetzt werden können, sind in den sogenannten Umsetzungshinweisen zu finden. Sie beschreiben, wie die Anforderungen der Bausteine umgesetzt werden können und erläutern im Detail geeignete Sicherheitsmaßnahmen. Bislang gibt es noch nicht zu jedem Baustein einen Umsetzungshinweis. Weitere Umsetzungshinweise werden sukzessive veröffentlicht, diese sind ab dem IT-Grundschutz-Kompendium 2022 losgelöst von der jeweils aktuellen Edition zu verwenden.

Bei der Erstellung der Bausteine wurde bereits eine Risikobewertung für Bereiche mit normalem Schutzbedarf durchgeführt. Die Anforderungen in den Bausteinen bilden den aktuellen Stand der Technik ab.

Die Agenda für die kommende verinice.XP steht: Am 22. und 23. Februar 2023 freuen wir uns darauf, Sie im Hotel Freizeit In in Göttingen begrüßen zu dürfen. Insbesondere sind wir gespannt auf die Keynote, für die wir Isabel Münch (BSI – Head of Branch IT Security Situational Awareness) gewinnen konnten. Tickets erhalten Sie über die Konferenzseite unter https://verinicexp.org.

Ein Dank geht an unsere Sponsoren Cassini Consulting AG, cape IT GmbH und neam IT-Services GmbH.

Das Programm 2023

U.a. wird Sirin Torun aus dem verinice.TEAM „verinice.DSMS“ vorstellen, den  Datenschutzmanager auf der neuen Plattform verinice.veo. Die verinice-Roadmap – und damit den Ausblick auf die (Weiter-)Entwicklung von verinice in den kommenden Jahren – wird Michael Flürenbrock (Product Owner verinice) präsentieren.

Zum Vortragsprogramm gehören außerdem zahlreiche fachliche Themen:

• Wie erkläre ich das dem Chef? Informationssicherheits-Risiken identifizieren und berichten (Ulf Riechen, Riechen Consulting GmbH)
• Die neue ISO 27001 – Was kommt auf uns zu? (Ann-Kathrin Udvary & Björn Lemberg, secuvera GmbH)
• Von verinice nach Visio und zurück (Thomas Lundström, SoftEd Systems GmbH)
• Kurzvorstellung: Vorfall-Experte BSI (David Oster, neam IT-Services GmbH)
• Integration der Informationssicherheit - Erfahrungen bei der Umsetzung der Anforderung ISMS.1.A9 (Ulf Riechen, Riechen Consulting GmbH)
• Jeder Standard ein Tool? Nicht zwingend! (Dirk Brand, sila consulting GmbH)
• ISO27001:2022/ISO27005:2022: The next Generation of ISMS (Sven Perscheid, Cassini Consulting AG)
• Geheimschutz im BSI IT-Grundschutzkompendium: Was ändert sich mit dem neuen Baustein CON.11.1 Geheimschutz? (Frederik von Zedlitz, Cassini Consulting AG)
• Service für IT, Medizin- und Haustechnik im Gesundheitswesen – Praktischer Einsatz des Open Source ITSM-Systems KIX in Krankenhäusern (Rico Barth, cape IT GmbH)

Das ausführliche Programm finden Sie wie gewohnt unter https://verinicexp.org – ergänzt wird die verinice.XP am Vortag (21.02.) durch Workshops zu den Themen verinice DSMS, IT-Grundschutz-Projekte, B3S und eigene Standards sowie Business Continuity Management.

Austausch & Social Event

Die verinice.XP ist auch immer eine Gelegenheit für den persönlichen Austausch – sichern Sie sich die kostenlose Teilnahme beim abendlichen Social Event (22.02.)! Wir hoffen auf interessante Einblicke, gewinnbringende Diskussionen und natürlich intensives Netzwerken der verinice.COMMUNITY.