Neuigkeiten rund um verinice.

Die verinice.XP 2023 war Ende Februar Treffpunkt für Anwenderinnen und Anwender des ISMS-Tools verinice. Als besonderes Highlight zeigte sich ein Bericht von Alexander Koderman (verinice.TEAM / SerNet GmbH) direkt aus dem verinice-Labor: Die Integration von ChatGPT in die neue Plattform verinice.veo mit dem veo-Copiloten als Browser-Plugin. Den zugehörigen Code hat Koderman auf GitHub veröffentlicht: https://github.com/Agh42/veo-copilot

Den gesamten Vortrag gibt es unter https://verinice.com/chatgpt zu sehen. Darin räumte Koderman auch gleich mit einem häufigen Missverständnis im Umgang mit Sprachmodellen auf, das sich mit dem nötigen Hintergrundwissen und der richtigen Anfrage lösen lässt. 

Koderman stellt den enormen Fortschritt von Sprachmodellen heraus, den alle in den vergangenen Wochen und Monaten beobachten konnten. Nicht nur Rätsel können sie nun schneller lösen als Menschen sie überhaupt lesen. Auch die dahinterliegenden Konzepte verarbeiten ChatGPT und Co. mittlerweile. Die Auswirkungen von KI auf das Informationssicherheitsmanagement seien entsprechend weitreichend: „Die Art und Weise, wie wir Cybersicherheitsrisiken analysieren, Maßnahmen einführen und die Einhaltung von Compliance gewährleisten, wird sich dramatisch verändern.“ Der Einsatz von KI-gestützten Tools im Informationssicherheitsmanagement habe das Potenzial, die Effizienz und Effektivität der Arbeit erheblich zu verbessern.

"veo Copilot" als Browser-Plugin

Auch für verinice sieht Koderman viel Potenzial: „Die fortschreitende Entwicklung und Erweiterung von Sprachmodellen stellt uns als Tool-Entwickler vor Herausforderungen und Chancen: Wie können wir natürlichsprachliche Schnittstellen in herkömmliche Benutzeroberflächen einbinden? In den kommenden Monaten werden wir diese Fragen beantworten und verinice.veo um spannende neue Funktionen erweitern.“

Eine erste Antwort ist als Experiment bereits verfügbar: Der veo-Copilot als Browser-Plugin. Mit diesem kann im ab sofort verfügbaren, webbasierten verinice DSMS getestet und gespielt werden. Koderman demonstriert in seinem Vortrag nicht nur, wie das funktioniert, sondern gibt bei dieser Gelegenheit auch gleich einen kleinen Einblick in das verinice der neusten Generation. Mittlerweile nutzt der Copilot auch das aktuelle Sprachmodell hinter ChatGPT, das jetzt über die OpenAI-API verfügbar ist.

Weitere Aufzeichnungen der verinice.XP 2023 werden nach und nach im verinice-YouTube-Kanal veröffentlicht: https://www.youtube.com/c/verinice

verinice ermöglicht die Arbeit an einem Notfallmanagement-System bzw. Business Continuity Management System (BCMS) nach BSI-Standard 200-4 oder ISO 22301.  Für die BSI-Perspektive steht nun ein Beispielverbund zur Verfügung, für die ISM-Perspektive  eine Beispielorganisation: Die Abbildung von BCM-relevanten Aspekten macht Anwendende mit den Neuerungen rund um das Thema BCM mit verinice vertraut und erleichtert den Einstieg. Beide sind kostenlos über den verinice.SHOP zu beziehen.

Die BCM-Erweiterungen in verinice ermöglichen neben der Abbildung des ISMS auch die Etablierung eines BCMS (mehr dazu unter verinice.com/bcm). verinice unterstützt Nutzerinnen und Nutzer während des gesamten PDCA-Zyklus. Für die jeweilige Perspektive stehen auch Videos im YouTube-Channel des verinice-Teams zur Verfügung, die Schritt für Schritt das jeweilige Vorgehen zeigen.

Sie haben weitere Fragen zum BCM mit verinice? Nutzen Sie gerne das verinice-Forum oder kontaktieren Sie unser Vertriebs-Team.

Das bieten BCM-Beispielverbund bzw -organisation:

Die Daten kommen in der Form einer .VNA-Datei zum Import in verinice ab Version 1.25 und höher. Inkludiert sind ein Beispielverbund bzw. eine Beispielorganisation mit Beispieldaten für ein BCMS mit  folgendem Umfang:

1. Bei der Initiierung, Konzeption und Planung des BCM/BCMS

   • Bestimmung der Grenzen und Anwendbarkeit des BCMS

   • Festlegung des Anwendungsbereichs des BCMS

   • Analyse von erweiterten Rahmenbedingungen / Kontext der Organisation (bspw. Interessengruppen-Analyse)

   • Definition der BCM-Aufbau-Organisation

   • Zuweisen und Sicherstellung von Verantwortlichkeiten für relevante Rollen

   • Dokumentation der BC-relevanten Dokumente

2. Bei der Umsetzung einer angemessenen Absicherung der Geschäftsprozesse

   • Durchführung der Business Impact Analyse (BIA)

   • Vorbereitung eines Soll-Ist-Vergleichs

   • Risikomanagement mit Risikoanalyse nach BSI-Standard 200-3 bzw. ISO 27005

   • Verwalten von Business-Continuity-Strategien / -Lösungen

3. Bei der Leistungsüberprüfung und Berichterstattung

   • BCM-Reporting: Auswertung der BIA-Parameter (MTPD, RTO, RPO) oder Ihrer kritischen Geschäftsprozesse

   • Erfassung und Auswertung von BCM-relevanten Kennzahlen

4. Bei der Korrektur und Verbesserung des BCMS

   • Verwaltung von abgeleiteten Maßnahmen, z.b. Korrektur- und Verbesserungsmaßnahmen

   • Erstellung eines BCM-Maßnahmenplans

Das IT-Grundschutz-Kompendium Edition 2023 ist für verinice verfügbar: Das verinice-Team hat die vom BSI veröffentlichte Edition für die Nutzung im ISMS-Tool aufbereitet. Sie steht den Anwendenden ab sofort als "IT-Grundschutz-Kompendium 11.0 Edition 2023" bereit. Erhältlich ist die neue Edition kostenlos über den verinice.SHOP bzw. im Update-Repository für verinice.PRO.

Die aktuelle Kompendiums-Edition ist für den Einsatz  in verinice ab Version 1.22 vorgesehen und enthält

• alle Bausteine und elementaren Gefährdungen zur Modellierung von Informationsverbünden in verinice,
• alle Texte der Anforderungen und elementaren Gefährdungen zur Betrachtung im Objektbrowser.

Das Update von Informationsverbünden, die mit einer vorherigen Edition des IT-Grundschutz-Kompendiums modelliert wurden, ist möglich.

Ein erläuterndes Video ist im YouTube-Kanal des verinice-Teams zu finden. Austausch der Community ist im verinice.FORUM gern gesehen.

Zum Hintergrund

Das IT-Grundschutz-Kompendium ist die grundlegende Veröffentlichung des  Bundesamt für Sicherheit in der Informationstechnik für den IT-Grundschutze. Im Fokus stehen die sogenannten IT-Grundschutz-Bausteine. In diesen Texten wird jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche Gefährdungen erläutert, im Anschluss wichtige Sicherheitsanforderungen. Die IT-Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt und reichen thematisch von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS).

Vertiefende Informationen dazu, wie einzelne Maßnahmen umgesetzt werden können, sind in den sogenannten Umsetzungshinweisen zu finden. Sie beschreiben, wie die Anforderungen der Bausteine umgesetzt werden können und erläutern im Detail geeignete Sicherheitsmaßnahmen. Bislang gibt es noch nicht zu jedem Baustein einen Umsetzungshinweis. Weitere Umsetzungshinweise werden sukzessive veröffentlicht, diese sind ab dem IT-Grundschutz-Kompendium 2022 losgelöst von der jeweils aktuellen Edition zu verwenden.

Bei der Erstellung der Bausteine wurde bereits eine Risikobewertung für Bereiche mit normalem Schutzbedarf durchgeführt. Die Anforderungen in den Bausteinen bilden den aktuellen Stand der Technik ab.

Die Agenda für die kommende verinice.XP steht: Am 22. und 23. Februar 2023 freuen wir uns darauf, Sie im Hotel Freizeit In in Göttingen begrüßen zu dürfen. Insbesondere sind wir gespannt auf die Keynote, für die wir Isabel Münch (BSI – Head of Branch IT Security Situational Awareness) gewinnen konnten. Tickets erhalten Sie über die Konferenzseite unter https://verinicexp.org.

Ein Dank geht an unsere Sponsoren Cassini Consulting AG, cape IT GmbH und neam IT-Services GmbH.

Das Programm 2023

U.a. wird Sirin Torun aus dem verinice.TEAM „verinice.DSMS“ vorstellen, den  Datenschutzmanager auf der neuen Plattform verinice.veo. Die verinice-Roadmap – und damit den Ausblick auf die (Weiter-)Entwicklung von verinice in den kommenden Jahren – wird Michael Flürenbrock (Product Owner verinice) präsentieren.

Zum Vortragsprogramm gehören außerdem zahlreiche fachliche Themen:

• Wie erkläre ich das dem Chef? Informationssicherheits-Risiken identifizieren und berichten (Ulf Riechen, Riechen Consulting GmbH)
• Die neue ISO 27001 – Was kommt auf uns zu? (Ann-Kathrin Udvary & Björn Lemberg, secuvera GmbH)
• Von verinice nach Visio und zurück (Thomas Lundström, SoftEd Systems GmbH)
• Kurzvorstellung: Vorfall-Experte BSI (David Oster, neam IT-Services GmbH)
• Integration der Informationssicherheit - Erfahrungen bei der Umsetzung der Anforderung ISMS.1.A9 (Ulf Riechen, Riechen Consulting GmbH)
• Jeder Standard ein Tool? Nicht zwingend! (Dirk Brand, sila consulting GmbH)
• ISO27001:2022/ISO27005:2022: The next Generation of ISMS (Sven Perscheid, Cassini Consulting AG)
• Geheimschutz im BSI IT-Grundschutzkompendium: Was ändert sich mit dem neuen Baustein CON.11.1 Geheimschutz? (Frederik von Zedlitz, Cassini Consulting AG)
• Service für IT, Medizin- und Haustechnik im Gesundheitswesen – Praktischer Einsatz des Open Source ITSM-Systems KIX in Krankenhäusern (Rico Barth, cape IT GmbH)

Das ausführliche Programm finden Sie wie gewohnt unter https://verinicexp.org – ergänzt wird die verinice.XP am Vortag (21.02.) durch Workshops zu den Themen verinice DSMS, IT-Grundschutz-Projekte, B3S und eigene Standards sowie Business Continuity Management.

Austausch & Social Event

Die verinice.XP ist auch immer eine Gelegenheit für den persönlichen Austausch – sichern Sie sich die kostenlose Teilnahme beim abendlichen Social Event (22.02.)! Wir hoffen auf interessante Einblicke, gewinnbringende Diskussionen und natürlich intensives Netzwerken der verinice.COMMUNITY.

Update (09.01.2023): Die verinice.XP findet im Hotel Freizeit In in Göttingen statt. Mehr Informationen auf der  Veranstaltungsseite.

Update (20.12.2022): Der Vorfall im Radisson Collection Hotel ist bekannt, siehe hier. Das Orga-Team kümmert sich derzeit um einen neuen Veranstaltungsort in Berlin. Weitere Informationen folgen.

Update (15.12.2022): Wir haben den Call for Papers bis zum 23.12. verlängert. Auch Early-Bird-Tickets können Sie sich noch bis zum 23.12. sichern.

Vom 22. - 23. Februar 2023 findet die verinice.XP  in Berlin statt. Der Ticketverkauf und der Call for Papers sind gestartet. Am Vortag der Konferenz werden verschiedene Workshops zu verinice angeboten.

Ab jetzt erhalten Sie Tickets zum Early-Bird-Preis von 399 € auf der Konferenz-Seite https://verinicexp.org. Weitere Informationen werden Ende diesen Jahres veröffentlicht.

Call for Papers

Sie möchten einen Vortrag auf der verinice.XP halten? Dann reichen Sie ab sofort Ihren Vortragsvorschlag unter https://verinicexp.org oder per Mail an cfp@remove-this.verinicexp.org ein. Das verinice.XP-Team und das Programmkomitee sichten die Beiträge. Auch Fallstudien zum Einsatz von verinice sind gern gesehen!

Das Programmkomitee bilden im Jahr 2023 Michael Flürenbrock (SerNet), Volker Jacumeit (DIN), Boban Kršić (Fresenius), Isabel Münch (BSI) und Jens Syckor (TU Dresden).

Workshops

Informationen zu den angebotenen Workshops in 2023 erhalten Sie Ende Oktober.

Über die verinice.XP

Seit vielen Jahren kommen IT-EntscheiderInnnen, Sicherheitsverantwortliche und Datenschutzbeauftragte unterschiedlicher Firmen, Institutionen und Behörden auf der verinice.XP zusammen. Sie alle nutzen verinice für das Management der Informationssicherheit oder das Datenschutzmanagement. Am Abend des ersten Konferenztages findet ein Social Event statt. Weitere Details dazu erhalten Sie in Kürze.

Wir machen die besinnliche Vorweihnachtszeit spannend: Am 1. Dezember startet die Public Beta des "verinice DSMS" auf der lang erwarteten neuen Plattform  verinice.veo. Bis zum 1. März haben Sie die Gelegenheit, den vollständig webbasierten Datenschutz-Manager kostenfrei und unverbindlich zu testen. Zugang erhalten Sie hier: https://account.verinice.com/.

Das Team freut sich auf Feedback! Damit es auch geschmacklich spannend wird, verlosen wir wöchentlich Göttinger Leckereien unter allen Beta-Testenden.

0 € bis zum 1. März 2023 

verinice.veo ist die nächste Generation von verinice. Als erstes Produkt auf der neuen Plattform können Interessierte "verinice DSMS" ab 1. Dezember 2022 in einer öffentlichen Testphase kennenlernen. Der verinice.veo-Datenschutzmanager bildet ein vollständiges Datenschutzmanagementsystem (DSMS) ab. Sie können damit die Vorgaben der DSGVO in Ihrer Einrichtung verwalten und die Einhaltung der Vorschriften wirksam gewährleisten. Eine umfangreich ausgestaltete Demo-Unit bietet eine ausführliche Einweisung in die Konzeption und Nutzungsmöglichkeiten des Datenschutzmanagers. Während der Public Beta haben Sie bis zum 1. März 2023 kostenfreien Zugriff auf das vollständige DSMS-Tool in der Einzelplatzversion und können sich ein erstes Bild machen.

Wichtige funktionale Bestandteile des verinice DMS sind:

• Verzeichnis von Verarbeitungstätigkeiten
• Bestellung von Datenschutzbeauftragten
• Auftragsdatenverarbeitung und AV-Verträge
• Risikomanagement und Datenschutz-Folgenabschätzung (DSFA)
• Verwaltung von Datenschutzvorfällen
• Technisch-Organisatorische Maßnahmen (TOM)
• Vertrags- und Dokumentenmanagement

Feedback erwünscht!

Ganz in der Tradition von verinice soll sich verinice.veo entlang des Bedarfs von Anwendenden weiterentwickeln. Dafür möchten wir gerne mit Ihnen in einen intensiven Dialog treten. Wir freuen uns auf Ihr Feedback, um verinice.veo noch besser zu machen. Diskutieren Sie mit uns und anderen Beta-Testenden im verinice.FORUM: https://forum.verinice.com/veo.

So geht’s weiter

In den nächsten Monaten stellt das Team zuerst die Version für mehrere Benutzende pro Client bereit. Es folgt die Version für mehrere Mandantinnen und Mandanten ("Units") pro Client. Eine On-Prem-Version für das eigene Rechenzentrum oder zum Betrieb beim Hoster des eigenen Vertrauens liegt voraussichtlich im zweiten Quartal 2023 vor. Im vierten Quartal 2023 entlassen wir auch das Produkt "verinice ISMS" in die Freiheit, zuerst für den BSI IT-Grundschutz und unmittelbar darauf für die ISO 27001. Die notwendigen Schnittstellen von Datenschutz im DSMS-Tool mit der Informationssicherheit im ISMS-Tool werden in verinice.veo von Anfang an konsequent mitgedacht.

Update (20.12.2022): Der Vorfall im Radisson Collection Hotel ist bekannt, siehe hier. Das Orga-Team kümmert sich derzeit um einen neuen Veranstaltungsort in Berlin. Weitere Informationen folgen.

Workshops zu verinice sind stark nachgefragt – und schnell ausgebucht. Die nächste Chance zur Teilnahme besteht am Vortag der verinice.XP (22.-23.02.2023) von 9 - 17 Uhr in Berlin. Geplant ist jeweils ein Workshop zum Thema IT-Grundschutz Projekte, Notfallmanagement / BCM, branchenspezifische Standards – und natürlich Datenschutzmanagement mit verinice.veo, dem verinice der nächsten Generation.

Die Zahl der Teilnehmenden ist auf 10 Personen pro Workshop begrenzt. Tickets zur Teilnahme erhalten Sie für 450,00 € unter https://www.verinicexp.org.

Folgende Workshops werden in diesem Jahr angeboten:

• Datenschutz mit dem neuen verinice DSMS - The Next Generation
  Dozentin: Sirin Torun (SerNet GmbH)
• BSI IT-Grundschutz Projekte mit verinice
  Dozenten: Sören Risse und Yannick Kaddar (neam IT-Services GmbH)
• B3S und eigene Standards - Wie können diese in verinice abgebildet werden?
  Dozenten: Dirk Brand und Lukas Fischer (sila consulting GmbH)
• Business Continuity Management - Aus Notfall wird Kontinuität
  Dozenten: Maximilian Stadler und Marc Drechsler (Cassini Consulting AG)

Ausführliche Informationen zu den Inhalten gibt es unter https://www.verinicexp.org.

Nach erfolgreichem Abschluss des Workshops erhalten alle Teilnehmer*innen eine Bescheinigung. Die Workshop-Teilnahme ist unabhängig von einem Besuch der verinice.XP möglich.

Neu für die IT-Grundschutz-Perspektive in verinice verfügbar ist das  IT-Grundschutz-Profil für Weltrauminfrastrukturen. Das Profil enthält Empfehlungen für eine Mindestabsicherung aller Satellitenmissionen und kann kostenlos im verinice.SHOP heruntergeladen werden.

Das Profil ist Ergebnis eines Prozesses, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2021initiert hat. Eine Arbeitsgruppe hat gemeinsam Mindestanforderungen an die Cyber-Sicherheit für Satelliten erstellt. Autoren des IT-Grundschutzprofils sind neben dem BSI die OHB Digital Connect GmbH, die Airbus CyberSecurity GmbH sowie die Raumfahrtagentur des Deutschen Zentrums für Luft- und Raumfahrt. Es ist außerdem erster Schritt, um die Handlungsziele der BSI-Strategie für Cyber-Sicherheit im Weltraum zu erreichen.

Zum Profil schreibt das BSI: Das IT-Grundschutz-Profil beinhaltet Empfehlungen für eine Mindestabsicherung aller Satellitenmissionen. Es soll eine Handreichung sein, welche den Anwendern (Herstellern, Betreibern sowie Zulieferern von Satelliten bzw. ihrer Komponenten) eine wirkungsvolle Umsetzung eines Sicherheitskonzepts ermöglicht, um so Informationssicherheit in allen Lebensphasen eines Satelliten zu gewährleisten.

IT-Grundschutz-Profile sind eine Maßnahme des BSI, um für Institutionen mit vergleichbaren Rahmenbedingungen den IT-Grundschutz umzusetzen. Die Profile dienen dabei als pauschalisierte Muster-Sicherheitskonzepte für eine Branche. Auch interessierten Satellitenherstellern und -betreibern geben das IT-Grundschutz-Profil  und in Ergänzung satellitenspezifische Anforderungen die Möglichkeit, schrittweise die Informationssicherheit zu erhöhen. So ist eine Mindestabsicherung bei der Herstellung und dem Betrieb von Satelliten zu erreichen.

Wie sich das IT-Grundschutz-Profil in verinice importieren lässt, ist direkt in der Produktbeschreibung zum IT-Grundschutz-Profil Weltrauminfrastruktur im verinice.SHOP zu erfahren.

Notfallmanagement hält Einzug in das ISMS-Tool verinice und verinice.PRO. Ab Version 1.25 kann das Business Continuity Management (BCM) in verinice auf Grundlage des BSI-Standards 200-4 bzw. der internationalen Norm ISO 22301 dokumentiert werden. Die neue Version steht zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung. Insgesamt liefert das verinice.TEAM rund 70 neue Funktionen, Detailänderungen und Fehlerbehebungen mit verinice 1.25 aus. Alle Änderungen im Detail sind in den Release Notes gelistet.

Kernprozesse identifizieren, Kritikalitätsdaten erfassen, Ausfallszenarien definieren und relevante Systeme für den Wiederanlauf festlegen – das alles kann nun direkt in der IT-Grundschutz- oder der ISO-ISM-Perspektive erfolgen. Die Implementierung des Notfallmanagements direkt in die bekannten Perspektiven bietet zahlreiche Vorteile. Tatjana Anisow, Product-Ownerin verinice: "Anwender*innen, die bereits ihr ISMS mit verinice pflegen, können mit bereits erfassten Daten weiterarbeiten und sie um die nötigen Informationen für das BCM ergänzen." Diese Synergie zwischen ISMS und BCMS sei auch für Neueinsteiger*innen bzw. Erstnutzer*innen interessant, vereinfache die Erfassung und führe zu einer effizienteren, übersichtlicheren Vorgehensweise. "verinice bringt Informationssicherheit, Notfallplanung und Datenschutz zusammen," so Anisow. Das ermögliche auch, dass IT-Sicherheitsverantwortliche, BCM-Beauftragte und Datenschützer*innen Hand in Hand arbeiten.

"Gerade im Bereich BCM werden wir mit kommenden verinice-Versionen noch einiges nachliefern", stellt Anisow in Aussicht. Sie verantwortet die Weiterentwicklung von verinice und kündigt u.a. den Feinschliff mit Finalisierung des BSI-Standars 200-4 an sowie eine umfangreiche Beispielorganisation inkl. Standard-Berichten als Zusatz-Modul. Die Beispielorganisation wird unabhängig von verinice-Releases über den verinice.SHOP zu beziehen sein und hat erhebliche Arbeitserleichterungen für das Notfallmanagement zum Ziel.

Sie benötigen Unterstützung beim Update auf verinice 1.25? Wenden Sie sich mit einem bestehenden Support-Vertrag gerne direkt an das verinice-Team bzw. erwerben Sie ganz unkompliziert ein Support-Budget über den verinice.SHOP.

Das verinice-Team arbeitet außerdem intensiv an verinice.veo, das bis Ende des Jahres mit dem verinice.veo DSMS als erstem Produkt in eine Public Beta starten wird. Nähere Informationen dazu unter: verinice.com/veo

Das verinice-Team plant die Veröffentlichung von Version 1.25 für den 31. Oktober 2022. verinice 1.25 bringt um die 70 neue Funktionen, Detailänderungen und Fehlerbehebungen mit. Die relevanteste Neuerung dabei: die Dokumentation des Notfallmanagement / Business Continuity Management (BCM).

Implementiert sind ab verinice 1.25 sowohl der BSI-Standard 200-4 1.CD als auch die ISO 22301:2019. Es können Kernprozesse identifiziert, Kritikalitätsdaten erfasst, Ausfallszenarien definiert und relevante Systeme für den Wiederanlauf festgelegt werden. Die Neuerungen sind in der bekannten IT-Grundschutz und ISM-Perspektive zu finden – Anwender*innen können von bereits hinterlegten Daten profitieren und die Synergien zwischen ISMS und BCMS nutzen.

Das verinice.TEAM unterstützt gerne bei einem Update. Dafür können Sie einen (bestehenden) Support-Vertrag oder das Support-Budget (verinice.SHOP) nutzen. Bitte kontaktieren Sie uns, um einen Termin zu vereinbaren.