Neuigkeiten rund um verinice.

Am 28. Februar 2024 findet die nächste verinice.XP digital via Zoom statt. Dort wird sich alles rund um Informationssicherheit und Datenschutz mit verinice drehen. Verschiedene Workshops zu verinice werden am Vortag der Konferenz ebenfalls über Zoom angeboten. Der Call for Papers und der Ticketverkauf sind bereits gestartet. Konferenz-Tickets sind für 95 € erhältlich­.

Call for Papers
Sie möchten etwas zur verinice.XP beisteuern und haben eine Idee für einen spannenden Vortrag? Dann reichen Sie Ihren Vorschlag über das Formular unter https://veriniceXP.org ein. Das Programmkomitee, bestehend aus Michael Flürenbrock (SerNet), Volker Jacumeit (DIN), Boban Kršić (Fresenius), Isabel Münch (BSI) und Jens Syckor (TU Dresden), sichtet die Beiträge. Sie setzen interessante Projekte mit verinice um oder nutzen das Tool für besondere Einsatzszenarien? Über praxisbezogene Beispiele aus der Anwendung freuen wir uns besonders. Auch Co-Speaker sind herzlich willkommen. Alle Vortragenden erhalten kostenlosen Zugang zur Konferenz.

Über die verinice.XP
Seit vielen Jahren kommen IT-Entscheidende, Sicherheitsverantwortliche und Datenschutzbeauftragte unterschiedlicher Firmen, Institutionen und Behörden auf der verinice.XP zusammen. Sie alle nutzen verinice für das Management der Informationssicherheit oder des Datenschutzes. Auf der Konferenz können sich die Teilnehmenden mit dem verinice-Team und untereinander über ihre Best Practices austauschen. Ausgerichtet wird die verinice.XP jährlich von der SerNet.

verinice bekommt ein Update: Version 1.26.1 steht ab sofort im verinice.SHOP bzw. im Kundenrepository zur Verfügung. Mit dem Release behebt das verinice-Team zwei Fehler. Mehr zu verinice 1.26 und 1.26.1 in den Release Notes.

Das verinice-Team hat die Signierung der verinice-Pakete auf SHA-256 korrigiert, was insbesondere für Windows-Benutzer relevant ist. Vor dem Update erhielten einige Benutzer bei der Installation des Clients unter Windows gelegentlich Warnmeldungen von Microsoft Defender. Dieses Issue ist mit der neuesten Version nun Geschichte.

Zudem hat das Team die Handhabung der Unicode-Codierung verbessert, um ein theoretisch mögliches Path Traversal zu verhindern (siehe CWE-176: Improper Handling of Unicode Encoding für Details). Die Ausnutzung wird allerdings im Nutzungsszenario von verinice als nicht real bewertet.

Wir empfehlen dieses Update allen verinice-Anwenderinnen und Anwendern, insbesondere denen, die bei der Client-Installation unter Windows Microsoft-Defender-Warnungen erhalten haben.

Vom 10.-12. Oktober 2023 ist verinice auf der it-sa in Nürnberg anzutreffen. Die it-sa ist die größte Fachmesse im Bereich IT-Security in Europa. Am Stand 7-114 in Halle 7 steht das verinice-Team der SerNet gemeinsam mit den Mitausstellern sila consulting und neam IT-Services für Fragen und Gespräche zur Verfügung.

Besucherinnen und Besucher des Standes können Informationen rund um die verschiedenen verinice-Produkte erhalten. Als besonderes Highlight werden die neuesten webbasierten Tools der Plattform verinice.veo verinice DSMS und verinice ISMS vorgestellt. Michael Flürenbrock (Product Owner) und Daniel Murygin (Entwicklungsleiter) berichten gerne über die aktuellen Entwicklungen.

Auch das Dienstleistungs-Angebot der verinice.PARTNER kann kennengelernt werden. Dazu gehört unter anderem die Beratung zu unterschiedlichen Standards (z. B. BSI IT-Grundschutz, ISO 27001), dem BCM und dem Aufbau eines ISMS.

Sie möchten einen Termin mit dem verinice-Team oder einem der verinice.PARTNER vereinbaren?
Dann senden Sie uns eine E-Mail an itsa@remove-this.sernet.de.

Kostenloses Tagesticket - jetzt sichern!

Für ein kostenloses Ticket können Sie den Code 503252itsa23 unter it-sa.de/gutschein einlösen. Wir freuen uns schon darauf, Sie an unserem Messestand zu begrüßen.

Für verinice stehen aktualisierte Versionen zweier BSI-Mindeststandards bereit: Der "Mindeststandard BSI: Verwendung von Transport Layer Security (TLS), V 2.4" und der "Mindeststandard BSI: Schnittstellenkontrollen, V 1.3". Beide gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) heraus, das verinice-Team passt sie für die Verwendung im ISMS-Tool an. Die Standards können kostenlos über den verinice.SHOP bezogen werden.

Der Mindeststandard für Schnittstellenkontrollen legt grundlegende Anforderungen und Empfehlungen für die sichere Gestaltung und den Betrieb von IT-Schnittstellen in Informationssystemen fest. Er zielt darauf ab, die Sicherheit von Daten zu gewährleisten, die zwischen verschiedenen Systemen ausgetauscht werden, indem potenzielle Schwachstellen identifiziert und geeignete Schutzmaßnahmen entsprechend der Mindestsicherheitsanforderungen implementiert werden.

Der Mindeststandard für die Verwendung von Transport Layer Security (TLS)  zielt darauf ab, die Übertragung von Informationen über Kommunikationsnetze das durch den richitigen und sicheren Einsatz des Protokolls Transport Layer Security (TLS) sicherzustellen.

Die Mindeststandards des BSI richten sich speziell an die Bundesverwaltung in Deutschland. Sie dienen als grundlegende Sicherheitsanforderungen, die Bundesbehörden erfüllen müssen, um ihre Informationssysteme sicher zu gestalten und zu betreiben. Diese Mindeststandards helfen dabei, die Integrität, Verfügbarkeit und Vertraulichkeit der Informationssysteme innerhalb der Bundesverwaltung zu gewährleisten. Auch in anderen Organisationen oder Unternehmen können sie als wertvolle Leitlinien für gute Praktiken in der Informationssicherheit genutzt werden. Sie bieten einen allgemeinen Rahmen, um die IT-Sicherheit zu verstehen und umzusetzen – unabhängig von der spezifischen Branche oder dem Umfang der Organisation. Damit ist verinice als ISMS-Tool in Kombination mit den BSI-Mindeststandards nicht nur eine sichere Wahl für die Bundesverwaltung. Auch der solide Einstieg in die Informationssicherheit für andere Unternehmen kann so vereinfacht gelingen.

Auch weitere Mindeststandards für verinice erhalten Updates. Sollten Sie bestimmte Versionen vermissen oder Fragen haben, setzen Sie sich gerne mit uns in Verbindung: vertrieb@remove-this.sernet.de.

Das verinice-Team hat die neue Version des Risikokatalogs veröffentlicht: Berücksichtigt werden nun ISO/IEC 27001:2022-10, ISO/IEC 27002:2022-02 und ISO/IEC 27005:2022-10. Der "verinice Risk Catalog (ISO/IEC 27001:2022) - ISM Edition" steht zum Download im verinice.SHOP oder im Update Repository für die Verwendung in verinice ab Version 1.26 zur Verfügung.

Die aktualisierten Standards der 2700x-Familie liegen derzeit offiziell nur in Englisch vor – zunächst wurde darum der englischsprachige Risk Catalog aktualisiert. Der deutschsprachige Risikokatalog wird schnellstmöglich nachgezogen, sobald die deutschen Übersetzungen verfügbar sind.

Auch in der neuen Version soll der verinice Risk Catalog als Zusatzmodul die Risikoanalyse erheblich beschleunigen. Dies wird ermöglicht durch vormodellierte Beispielprozesse und Assets sowie Bedrohungen, Schwachstellen, Risikoszenarien und Controls aus den ISO-Standards:

• 180 generische Risikoszenarien, die auf jede Organisation anwendbar sind, in verschiedenen Kategorien wie physische Beschädigung, unzureichende Wartung, Cyber-Angriffe usw.

• Über 1000 Beziehungen zwischen den Risikoszenarien und den Controls nach ISO/IEC 27001:2022 (Anhang A), um diese Risiken zu beheben. Als Organisation müssen Sie nur den Implementierungsstatus der Kontrollen vervollständigen und die Beziehungen anpassen.

• 60 grundlegende Bedrohungen in verschiedenen Kategorien wie Beeinträchtigung von Funktionen, menschliche Handlungen, technisches Versagen usw.

• 84 inhärente Schwachstellen der Informationsverarbeitung in Kategorien wie Hardware, Netzwerk, Personal, Standort usw.

• 147 Beispiel-Assets, die mit sieben grundlegenden Geschäftsprozessen verbunden sind, in Kategorien wie Hardware, Informationen, Personal, Standort usw.

Eine Aktualisierung des verinice Risikokatalog Plus (ISO 27001 / ISO 27019) ist derzeit nicht vorgesehen. Bitte sprechen Sie uns bei Rückfragen hierzu direkt über vertrieb@remove-this.sernet.de an.

Das verinice Datenschutzmodul für den IT-Grundschutz ist jetzt in Version 3.3 verfügbar und damit angepasst für die Edition 2023 des IT-Grundschutz-Kompendiums. Ebenso wie die vorausgehenden Versionen, bettet das Datenschutzmodul 3.3 für den IT-Grundschutz die EU-weite rechtskonforme Dokumentation der DSGVO in die Vorgehensweise des modernisierten IT-Grundschutz nach den BSI-Standards der 200er-Reihe in verinice ein. 

Die neue Version ist über den verinice.SHOP als zusätzliches Modul zu beziehen. Für verinice.PRO-Anwendende ist Version 3.3 im Repository verfügbar.

Das Datenschutzmodul 3.3 für den IT-Grundschutz ist verwendbar ab verinice 1.19 oder höher. Zum Einsatz kommt es in der Perspektive Modernisierter IT-Grundschutz.

Ab sofort stehen verinice und verinice.PRO in Version 1.26 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung. Das verinice.TEAM stellt mit dem Release neue Funktionen, Detailänderungen und Fehlerbehebungen bereit. Die Unterstützung für die neue ISO/IEC 27001:2022 ist wichtigstes neues Feature. Details enthalten die vollständigen Release Notes.

Das Team plant, den neuen verinice-Risikokatalog mit den relevanten Inhalten der ISO 27001-Familie zeitnah zu veröfffentlichen. Parallel wurde die Anpassung der Risikoanalyse in der Perspektive ISM/ISO vereinfacht. In den zugehörigen Report-Vorlagen können jetzt die Risikomatrizen für Vertraulichkeit, Integrität und Verfügbarkeit angepasst werden.

Als Teil der Produktpflege sind mit verinice 1.26 neben zahlreichen Detailverbesserungen und Fehlerbehebungen auch die Rich Client Platform (RCP) und das Java Development Kits (JDK) auf neusten Stand gebracht.

Neben der Neuauflage des Risikokatalogs soll auch das Datenschutzmodul mit IT-Grundschutz-Kompendium Edition 2023 in Kürze zur Verfügung stehen.

Neben der Entwicklung des klassischen verinice arbeitet SerNet intensiv an der neuen Plattform verinice.veo, die mit dem ersten Produkt verinice DSMS an den Start gegangen ist. Erfahren Sie mehr zum vollständig webbasierten Datenschutz-Manager und testen Sie unsere nächste Tool-Generation einen Monat lang kostenlos: Mehr finden Sie unter verinice.com/veo oder Sie kontaktieren direkt unseren Vertrieb unter vertrieb@remove-this.sernet.de.

Das verinice-Team arbeitet nicht nur an der Weiterentwicklung der Fachanwendung sondern erschließt sich auch immer wieder neue Gebiete. Unter anderem hat sich Alexander Koderman, Entwickler und verinice-Erfinder der ersten Stunde, intensiv mit Graphendatenbanken auseinandergesetzt. Gemeinsam mit Mirko Prehn hat er den Artikel "Der Einsatz von Graphdatenbanken in der Compliance-Automatisierung" in der Ausgabe 36/Dezember 2022 im Magazin IT-Governance veröffentlicht, der Fachzeitschrift des ISACA Germany Chapter e.V.. Diesen stellen wir hier als PDF-Sonderausgabe zur Verfügung (kompletten Artikel lesen).

Aus dem Inhalt: Moderne Graphdatenbanken eignen sich hervorragend zur Lösung typischer Herausforderungen im Compliance-Management. Sie las- sen sich perfekt mit den aktuellen Entwicklungen bei maschinenles- baren Formaten wie dem kürzlich fertiggestellten OSCAL-Standard kombinieren. Einige Herausforderungen bleiben jedoch bestehen.

Bei der Konferenz GraphConnect 2022 stellte Koderman außerdem "Cybersecurity Automation with OSCAL and Neo4J" vor. Der Vortrag wurde aufgezeichnet und kann bei YouTube angesehen werden: https://youtu.be/FVCFmSIsYic

Die Aufzeichnungen von der verinice.XP 2023 sind online: Im YouTube-Kanal des verinice-Teams sind die Vorträge ab sofort abrufbar. Die verinice.XP ist die jährliche Fachkonferenz für Anwendende des ISMS-Tools und  fand in diesem Jahr am 22. & 23. Februar im Hotel Freizeit In, Göttingen statt.

Das sind die verfügbaren Videos:

• Aktuelles zur IT-Sicherheitslage von Isabel Münch (BSI)
• Chefsache Informationssicherheit von Ulf Riechen (Riechen Consulting)
• Die neue ISO 27001 – Was kommt auf uns zu? von Ann-Kathrin Udvary und Björn Lemberg (secuvera GmbH)
• Von verinice nach Visio und zurück von Thomas Lundström (SoftEd Systems GmbH)
• Kurzvorstellung Vorfall-Experte BSI von David Oster (neam IT Services GmbH)
• Integration der Informationssicherheit Ulf Riechen (Riechen Consulting)
• The next Generation of ISMS – ISO27001:2022/ISO27005:2022 von Sven Perscheid (Cassini Consulting AG)
• Jeder Standard ein Tool? Nicht zwingend! von Dirk Brand (sila consulting GmbH)
• Service für IT, Medizin- und Haustechnik im Gesundheitswesen von Rico Barth (c.a.p.e. IT GmbH)
• verinice.veo und ChatGPT von Alexander Koderman (verinice-Team, SerNet GmbH)
• verinice Roadmap von Michael Flürenbrock (verinice-Product-Owner, SerNet GmbH)

Das Orga-Team zeigt sich ausgesprochen zufrieden mit der Konferenz. Alma Altergott (Event-Marketing) und Nadine Dreymann (Head of Marketing) konnten nach mehreren Remote-Events erstmals wieder eine Veranstaltung vor Ort ausrichten. Das persönliche Zusammentreffen, die direkten Gespräche und das Networking seien von allen besonders positiv empfunden worden, berichten beide. Dreymann abschließend: "Unser besonderer Dank geht noch einmal an die diesjährigen Sponsoren Cassini Consulting AG, cape IT GmbH und neam IT-Services GmbH. Wir freuen uns schon auf nächstes Jahr!"

Die aktuelle Version 1.2 des Branchenspezifischen Sicherheitsstandards (B3S) für die Gesundheitsversorgung im Krankenhaus ist für verinice verfügbar. Das verinice-Team stellt die überarbeitete Version im verinice.SHOP sowie im verinice.PRO-Repository zur Verfügung. Der Lieferumfang beinhaltet neben der aktuell gültigen Fassung des B3S auch die Vorversion sowie eine Mappingtabelle der Anforderungen. Weiterhin ist die Umsetzung sowohl in der IT-Grunschutz- als auch der ISO/ISM-Perspektive möglich. 

Die detaillierte Mappingtabelle ist vor allem für Anwender*innen gedacht, die auf die Version 1.2 migrieren möchten. Das verinice-Team hat sie erarbeitet, um einen leichteren Umstieg zu ermöglichen: Die Änderungen bei den Anforderungen wurden dazu im Detail analysiert, kategorisiert und tabellarisch aufgelistet

Sollten Sie Fragen zur Migration auf Version 1.2 des B3S Gesundheitsversorgung im Krankenhausoder generell zum Einsatz des B3S haben, kontaktieren Sie uns gerne. Auch im verinice.FORUM können Sie jederzeit Fragen stellen und erhalten sowohl durch die verinice-Community als auch das Team wertvolle Hinweise.

Zum Hintergrund:

Die Sicherheit informationstechnischer Systeme in Krankenhäusern muss dauerhaft gewährleistet sein, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz. Erarbeitet hat sie ihn in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Eignung des B3S für die Gesundheitsversorgung im Krankenhaus in der Version 1.2 (Stand: 8.12.2022) für die Einhaltung der gesetzlich geforderten Maßnahmen festgestellt.