Neuigkeiten rund um verinice.

Neue verinice-Produkte – neue verinice-Webinare! Ab 2024 bietet das verinice-Team neue Möglichkeiten, das Werkzeug für Informationssicherheits- und Datenschutz-Management auf aktueller und künftiger Plattform kennenzulernen. In das Programm aufgenommen sind auch Termine für das Business Continuity Management (BCM) und die Umsetzung von NIS2 mit verince.

Folgende Webinare sind in regelmäßigem Turnus geplant:

• IT-Grundschutz umsetzen in verinice
• verinice DSMS: Der neue Datenschutzmanager
• verinice-Datenschutzmodul
• ISMS nach ISO 27001 mit verinice
• Notfallmanagement in verinice (BSI 200-4 / ISO 22301)
• NIS2 in verinice

Die Durchführung erfolgt mittels GoTo Webinar. Weitere Hinweise dazu finden Sie auch auf unserer Webinar-Infoseite. Teilnehmende erhalten nicht nur einen ersten Einblick, sondern können natürlich auch direkt Fragen an die verinice-Macher*innen stellen.

Das verinice.TEAM hat außerdem Webinare aufgezeichnet: Interessent*innen können auch diese zeit- und themensouverän ansehen. Alle Videos sind auf verinice.com/media bzw. in unserem YouTube-Kanal zusammengestellt. Wenn Sie den Kanal abonnieren, erhalten Sie außerdem Benachrichtigungen, sobald neue Videos vorliegen. Fragen beantworten wir gerne über das Kontaktformular oder Sie mailen uns an verinice@sernet.de.

Als eines der ersten ISMS-Tools bietet verinice Unterstützung für die EU-Richtlinie NIS2 an. Der "NIS2 verinice Risikokatalog“ ist in enger Zusammenarbeit zwischen dem Verband Deutscher Maschinen- und Anlagenbau (VDMA) und dem verinice-Team bei der SerNet GmbH entstanden. Der neue Katalog unterstützt Organisationen bei der Erfüllung der NIS2-Anforderungen und der ISO/IEC 27001:2022. Er ist im verinice.SHOP in einer kostenfreien und einer kostenpflichtigen Version direkt zu beziehen und damit ab sofort einsatzbereit.

Die NIS2-Richtlinie stellt ab Oktober 2024 erhöhte Anforderungen an die IT-Sicherheit für Unternehmen in der EU: Sie gilt für Firmen, die abhängig von Größe und Umsatz als wesentliche oder wichtige Dienstleister in Sektoren wie Energie, Verkehr, Gesundheit und digitale Infrastruktur agieren. Der rechtzeitige Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 ist ein möglicher Weg, um die Anforderungen der Richtlinie zu erfüllen.

Vorteile des verinice Risikokatalogs

Der "NIS2 verinice Risikokatalog" basiert auf dem seit vielen Jahren verfügbaren "verinice Risikokatalog (ISO/IEC 27001:2022) - ISM Edition". Ein Team bei der SerNet-Kundin und VDMA-Mitglied Krones AG hat eine Zuordnung (Mapping) der NIS2-Anforderungen auf die aktuelle ISO/IEC 27001:2022 durchgeführt und über den VDMA auch dem verinice-Team zur Verfügung gestellt. Durch die Kooperation zwischen VDMA und der SerNet kann dieses Mapping nun der Allgemeinheit zur Verfügung gestellt werden. Zusätzlich zu den bereits umfangreichen Inhalten des Risikokatalog kommen nun 24 Anforderungen der NIS2 hinzu, die mit den korrespondierenden Anforderungen der ISO/IEC 27001:2022 verknüpft sind und damit auch bei der Risikoanalyse berücksichtigt werden. Der Katalog richtet sich an Unternehmen aller Größen und Arten und stellt eine wesentliche Ressource dar, um Compliance mit der NIS2-Richtlinie und ISO/IEC 27001:2022 zu erreichen und aufrechtzuerhalten. Die Verwendung dieses Katalogs ermöglicht es durch die detaillierte und ausführliche Aufbereitung, Risikomanagementprozesse zu beschleunigen und zu optimieren

Verfügbarkeit und Live-Demo

Der "NIS2 verinice Risikokatalog" ist ein Zusatzmodul für den Einsatz im ISMS-Tool verinice ab Version 1.26. Er kann über den verinice-Shop bezogen und in das Tool integriert werden. Zwei Versionen stehen bereit:

• Die kostenpflichtige Vollversion des "verinice Risikokatalogs" inkl. Zugriff auf die ISO-Originalnormen (lizenziert über den Beuth-Verlag), die um das Mapping der NIS2-Richtlinie auf die ISO27001:2022 erweitert wurde.
• Die kostenfreie Version, die den Katalog-Inhalt der ISO-Norm nur verschlüsselt beinhaltet – den vollen Zugriff darauf bietet aus Lizenzgründen nur die kostenpflichtige Vollversion.

Wer den Risikokatalog bereits zusammen mit verinice im Einsatz hat, kann durch erneuten Download der ZIP-Datei den NIS2-Content des VDMA ohne Zusatzkosten nutzen. Wer alles kostenlos testen will, kann dies durch die EVAL-Version des verinice-Clients und den kostenfreien NIS2-Katalog erreichen.

Das verinice-Team bietet die Möglichkeit, den Katalog näher kennenzulernen. Das Team zeigt in regelmäßigen Webinaren den Risikokatalog und künftig auch die NIS2-Integration in verinice als Erweiterung für ein ISMS. Stanislav Striegler, der maßgeblich zur Verwirklichung des "NIS2 verinice Risikokatalog" beigetragen hat, leitet die Live-Demos selbst und beantwortet gerne Fragen.

Mit der Veröffentlichung von Version 1.27 startet das verinice-Team ins neue Jahr: Der Temin für die Veröffentlichung ist für die 1. Kalenderwoche 2024 angesetzt. Mit der Version kommen neue Funktionen, Detailänderungen und Fehlerbehebungen.

Relevante Neuerungen in verinice 1.27 umfassen die weitere Integration des Notfallmanagements (BCM) nach BSI-Standard 200-4 mit nun umfassendem Reporting, die Einbindung eines "Management-Summary Report IT-Grundschutz" sowie die Bereitstellung von verinice für RHEL 8 / Alma Linux 8.

Bei Updates unterstützt das verinice-Team gerne. Dafür kann ein (bestehender) Support-Vertrag oder das Support-Budget (verinice.SHOP) genutzt werden. Bitte kontaktieren Sie uns, um einen Termin zu vereinbaren.

Schon neugierig auf das verinice der nächsten Generation? Für den Datenschutzmanager "veriniceDSMS" steht ein Eval-Zugang zur Verfügung, der Einblicke in das neue, webbasierte verinice gewährt. Hier entlang: https://account.verinice.com/

Gemeinsmam mit dem langjährigen verinice-Partner neam, gibt das verinice-Team einen Ein- und Ausblick zum verinice der zweiten Generation. Das kostenlose Webinar findet am 21. November 2023 ab 10:00 Uhr statt. Anmeldungen sind über das Schulungsportal der neam möglich.

Das bewährte ISMS-Werkzeug verinice zeigt sich vollständig neu, vollständig webbasiert – und weiterhin als einziges OpenSource-Tool im Markt komplett quelloffen. Auf der neuen Plattform verinice.veo steht als erstes Produkt mit verinice DSMS bereits ein kompletter Datenschutzmanager nach DSGVO bereit, 2024 folgt "verinice ISMS“. Neben der Umsetzung des BSI IT-Grundschutzes und der ISO 2700x-Familie stehen Business Continuity Management (BSI 200-4 / ISO 22301), NIS-2 und TISAX  auf der Timeline des verinice-Teams. Eine "onPrem"-Version und die Migration von verinice.PRO sind bereits in Planung.

Das neue verinice geht über bewährte ISMS- und DSMS-Lösungen hinaus. Mit einem modularen Ansatz verfolgt es den Anspruch, künftig ein Open-Source-Framework für integrierte Management-Systeme zu bieten und adressiert dadurch branchenübergreifend die vielfältigen Anforderungen an Organisationen und Behörden. Als effizientes und anpassungsfähiges Werkzeug eignet es sich zum unkomplizierten Loslegen für Einsteiger ebenso wie für das komplexe Vorgehen von Profis.

In diesem Webinar gibt verinice Product-Owner Michael Flürenbrock einen exklusiven Einblick in das Tool und einen Ausblick auf die nächsten Entwicklungsstufen. Wir freuen uns darauf, Ihnen das neue verinice vorstellen zu dürfen!

Für verinice stehen die aktualisierten Versionen zweier BSI-Mindestandards bereit: Der Mindeststandard zur Nutzung externer Cloud-Dienste und der Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen. Beide sind kostenlos im verinice-Shop für die Nutzung in verinice erhältlich. 

Der Mindeststandard zur Nutzung externe Cloud-Dienste formuliert Sicherheitsanforderungen nach § 8 Abs. 1 BSIG. Thematisiert werden dabei die beiden Anwendungsbereiche Nutzung und Mitnutzung externer Cloud-Dienste. In Version 2.1  wurden die Umsetzungshinweise und die Referenztabelle basierend auf der Edition 2022 des IT-Grundschutzkompendiums aktualisiert.

In Version 2.0 und damit einhergehender völlig neuer Struktur liegt der Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen vor. Er soll eine einheitliche Herangehensweise zur Erkennung von Cyber-Angriffen gewährleisten und  konkretisiert die Bausteine OPS.1.1.5 Protokollierung und DER.1 Detektion von sicherheitsrelevanten Ereignissen aus dem modernisierten IT-Grundschutz. Eine wesentliche Neuerung ist die weitgehende Integration der "Protokollierungsrichtlinie Bund" (PR-B), die bislang als Anlage vorlag. 

Die Mindeststandards des Bundesamtes für Sicherheit in der Informationstechnik richten sich in erster Linie an die Bundesverwaltung. Auch weitere Organisationen wie Landesverwaltungen oder Unternehmen können mit ihrer Hilfe ein Mindestsicherheitsniveau erreichen. Unternehmen und Behörden, die die BSI-Mindeststandards befolgen, profitieren von einer klaren Struktur und Orientierung, was die Gewährleistung der Sicherheit von Daten und Systemen angeht. Die Arbeit mit den Mindeststandards im ISMS-Tool verinice bietet zudem alle Vorteile des zentralen Verwaltens der Informationssicherheit – Anwendende können sich voll und ganz auf die Umsetzung der Sicherheitsanforderungen fokussieren.

Für weitere Informationen und Diskussionen besuchen Sie das verinice.FORUM oder sehen Sie sich die neuesten Videos auf YouTube an.

Am 28. Februar 2024 findet die nächste verinice.XP digital via Zoom statt. Dort wird sich alles rund um Informationssicherheit und Datenschutz mit verinice drehen. Verschiedene Workshops zu verinice werden am Vortag der Konferenz ebenfalls über Zoom angeboten. Der Call for Papers und der Ticketverkauf sind bereits gestartet. Konferenz-Tickets sind für 95 € erhältlich­.

Call for Papers
Sie möchten etwas zur verinice.XP beisteuern und haben eine Idee für einen spannenden Vortrag? Dann reichen Sie Ihren Vorschlag über das Formular unter https://veriniceXP.org ein. Das Programmkomitee, bestehend aus Michael Flürenbrock (SerNet), Volker Jacumeit (DIN), Boban Kršić (Fresenius), Isabel Münch (BSI) und Jens Syckor (TU Dresden), sichtet die Beiträge. Sie setzen interessante Projekte mit verinice um oder nutzen das Tool für besondere Einsatzszenarien? Über praxisbezogene Beispiele aus der Anwendung freuen wir uns besonders. Auch Co-Speaker sind herzlich willkommen. Alle Vortragenden erhalten kostenlosen Zugang zur Konferenz.

Über die verinice.XP
Seit vielen Jahren kommen IT-Entscheidende, Sicherheitsverantwortliche und Datenschutzbeauftragte unterschiedlicher Firmen, Institutionen und Behörden auf der verinice.XP zusammen. Sie alle nutzen verinice für das Management der Informationssicherheit oder des Datenschutzes. Auf der Konferenz können sich die Teilnehmenden mit dem verinice-Team und untereinander über ihre Best Practices austauschen. Ausgerichtet wird die verinice.XP jährlich von der SerNet.

verinice bekommt ein Update: Version 1.26.1 steht ab sofort im verinice.SHOP bzw. im Kundenrepository zur Verfügung. Mit dem Release behebt das verinice-Team zwei Fehler. Mehr zu verinice 1.26 und 1.26.1 in den Release Notes.

Das verinice-Team hat die Signierung der verinice-Pakete auf SHA-256 korrigiert, was insbesondere für Windows-Benutzer relevant ist. Vor dem Update erhielten einige Benutzer bei der Installation des Clients unter Windows gelegentlich Warnmeldungen von Microsoft Defender. Dieses Issue ist mit der neuesten Version nun Geschichte.

Zudem hat das Team die Handhabung der Unicode-Codierung verbessert, um ein theoretisch mögliches Path Traversal zu verhindern (siehe CWE-176: Improper Handling of Unicode Encoding für Details). Die Ausnutzung wird allerdings im Nutzungsszenario von verinice als nicht real bewertet.

Wir empfehlen dieses Update allen verinice-Anwenderinnen und Anwendern, insbesondere denen, die bei der Client-Installation unter Windows Microsoft-Defender-Warnungen erhalten haben.

Vom 10.-12. Oktober 2023 ist verinice auf der it-sa in Nürnberg anzutreffen. Die it-sa ist die größte Fachmesse im Bereich IT-Security in Europa. Am Stand 7-114 in Halle 7 steht das verinice-Team der SerNet gemeinsam mit den Mitausstellern sila consulting und neam IT-Services für Fragen und Gespräche zur Verfügung.

Besucherinnen und Besucher des Standes können Informationen rund um die verschiedenen verinice-Produkte erhalten. Als besonderes Highlight werden die neuesten webbasierten Tools der Plattform verinice.veo verinice DSMS und verinice ISMS vorgestellt. Michael Flürenbrock (Product Owner) und Daniel Murygin (Entwicklungsleiter) berichten gerne über die aktuellen Entwicklungen.

Auch das Dienstleistungs-Angebot der verinice.PARTNER kann kennengelernt werden. Dazu gehört unter anderem die Beratung zu unterschiedlichen Standards (z. B. BSI IT-Grundschutz, ISO 27001), dem BCM und dem Aufbau eines ISMS.

Sie möchten einen Termin mit dem verinice-Team oder einem der verinice.PARTNER vereinbaren?
Dann senden Sie uns eine E-Mail an itsa@remove-this.sernet.de.

Kostenloses Tagesticket - jetzt sichern!

Für ein kostenloses Ticket können Sie den Code 503252itsa23 unter it-sa.de/gutschein einlösen. Wir freuen uns schon darauf, Sie an unserem Messestand zu begrüßen.

Für verinice stehen aktualisierte Versionen zweier BSI-Mindeststandards bereit: Der "Mindeststandard BSI: Verwendung von Transport Layer Security (TLS), V 2.4" und der "Mindeststandard BSI: Schnittstellenkontrollen, V 1.3". Beide gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) heraus, das verinice-Team passt sie für die Verwendung im ISMS-Tool an. Die Standards können kostenlos über den verinice.SHOP bezogen werden.

Der Mindeststandard für Schnittstellenkontrollen legt grundlegende Anforderungen und Empfehlungen für die sichere Gestaltung und den Betrieb von IT-Schnittstellen in Informationssystemen fest. Er zielt darauf ab, die Sicherheit von Daten zu gewährleisten, die zwischen verschiedenen Systemen ausgetauscht werden, indem potenzielle Schwachstellen identifiziert und geeignete Schutzmaßnahmen entsprechend der Mindestsicherheitsanforderungen implementiert werden.

Der Mindeststandard für die Verwendung von Transport Layer Security (TLS)  zielt darauf ab, die Übertragung von Informationen über Kommunikationsnetze das durch den richitigen und sicheren Einsatz des Protokolls Transport Layer Security (TLS) sicherzustellen.

Die Mindeststandards des BSI richten sich speziell an die Bundesverwaltung in Deutschland. Sie dienen als grundlegende Sicherheitsanforderungen, die Bundesbehörden erfüllen müssen, um ihre Informationssysteme sicher zu gestalten und zu betreiben. Diese Mindeststandards helfen dabei, die Integrität, Verfügbarkeit und Vertraulichkeit der Informationssysteme innerhalb der Bundesverwaltung zu gewährleisten. Auch in anderen Organisationen oder Unternehmen können sie als wertvolle Leitlinien für gute Praktiken in der Informationssicherheit genutzt werden. Sie bieten einen allgemeinen Rahmen, um die IT-Sicherheit zu verstehen und umzusetzen – unabhängig von der spezifischen Branche oder dem Umfang der Organisation. Damit ist verinice als ISMS-Tool in Kombination mit den BSI-Mindeststandards nicht nur eine sichere Wahl für die Bundesverwaltung. Auch der solide Einstieg in die Informationssicherheit für andere Unternehmen kann so vereinfacht gelingen.

Auch weitere Mindeststandards für verinice erhalten Updates. Sollten Sie bestimmte Versionen vermissen oder Fragen haben, setzen Sie sich gerne mit uns in Verbindung: vertrieb@remove-this.sernet.de.

Das verinice-Team hat die neue Version des Risikokatalogs veröffentlicht: Berücksichtigt werden nun ISO/IEC 27001:2022-10, ISO/IEC 27002:2022-02 und ISO/IEC 27005:2022-10. Der "verinice Risk Catalog (ISO/IEC 27001:2022) - ISM Edition" steht zum Download im verinice.SHOP oder im Update Repository für die Verwendung in verinice ab Version 1.26 zur Verfügung.

Die aktualisierten Standards der 2700x-Familie liegen derzeit offiziell nur in Englisch vor – zunächst wurde darum der englischsprachige Risk Catalog aktualisiert. Der deutschsprachige Risikokatalog wird schnellstmöglich nachgezogen, sobald die deutschen Übersetzungen verfügbar sind.

Auch in der neuen Version soll der verinice Risk Catalog als Zusatzmodul die Risikoanalyse erheblich beschleunigen. Dies wird ermöglicht durch vormodellierte Beispielprozesse und Assets sowie Bedrohungen, Schwachstellen, Risikoszenarien und Controls aus den ISO-Standards:

• 180 generische Risikoszenarien, die auf jede Organisation anwendbar sind, in verschiedenen Kategorien wie physische Beschädigung, unzureichende Wartung, Cyber-Angriffe usw.

• Über 1000 Beziehungen zwischen den Risikoszenarien und den Controls nach ISO/IEC 27001:2022 (Anhang A), um diese Risiken zu beheben. Als Organisation müssen Sie nur den Implementierungsstatus der Kontrollen vervollständigen und die Beziehungen anpassen.

• 60 grundlegende Bedrohungen in verschiedenen Kategorien wie Beeinträchtigung von Funktionen, menschliche Handlungen, technisches Versagen usw.

• 84 inhärente Schwachstellen der Informationsverarbeitung in Kategorien wie Hardware, Netzwerk, Personal, Standort usw.

• 147 Beispiel-Assets, die mit sieben grundlegenden Geschäftsprozessen verbunden sind, in Kategorien wie Hardware, Informationen, Personal, Standort usw.

Eine Aktualisierung des verinice Risikokatalog Plus (ISO 27001 / ISO 27019) ist derzeit nicht vorgesehen. Bitte sprechen Sie uns bei Rückfragen hierzu direkt über vertrieb@remove-this.sernet.de an.