Neuigkeiten rund um verinice.

In der vergangenen Woche wurde eine kritische Schwachstelle in der viel genutzten Logging-Bibliothek log4j 2 bekannt. Die im verinice.PRO-Server enthaltenen log4j-Versionen sind von der Schwachstelle nicht betroffen!

Die Schwachstelle wird u.a. in diesem Artikel beschrieben: Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package und hat die CVS-Nummer CVE-2021-44228 erhalten.

Weitere Informationen finden Sie in unserem verinice-Forum: https://forum.verinice.com/t/verinice-nicht-betroffen-von-log4j-schwachstelle/ Dort halten wir Sie auch zu weiteren Entwicklungen auf dem Laufenden.

Auf einem verinice.PRO-System können außerdem andere Java-Anwendungen in Tomcat vorhanden sein, die nicht vom verinice-Team installiert wurden. Da diese Anwendungen möglicherweise betroffene log4j-Versionen enthalten, empfiehlt das Team einen Parameter in die Tomcat-Konfiguration aufzunehmen, der das Ausnutzen der Schwachstelle in anderen Anwendungen verhindert. Auch hierzu finden Sie die Details in unserem Foren-Eintrag: https://forum.verinice.com/t/verinice-nicht-betroffen-von-log4j-schwachstelle/

Setzen Sie sich bei weiteren Fragen gerne mit unserem Team in Verbindung.

Update (15.12.2021): Aufgrund der aktuellen Corona-Entwicklungen hat sich das Organisations-Team entschlossen, die verinice.XP 2022 als Online-Event am 23. Februar 2022 zu veranstalten. Die Teilnahme an der digitalen Konferenz ist kostenlos möglich. 

Die nächste verinice.XP findet am 23. Februar 2022 statt – vor Ort in Berlin im Radisson Blu Hotel. Organisatorin SerNet freut sich auf den direkten Austausch und das Zusammentreffen der verinice-Community.

Early-Bird-Tickets zum Preis von 399 Euro sind bereits auf der Konferenz-Seite unter https://verinicexp.org  erhältlich. Das Programm wird Ende 2021 veröffentlicht.

Vortragsvorschläge können ab sofort unter https://verinicexp.org oder per E-Mail an cfp@remove-this.verinicexp.org eingereicht werden. Das verinice.XP-Team und das Programmkommitee sichten die Beiträge – insbesondere Fallstudien zum Einsatz von verinice sind beliebte Vortragsinhalte.

Workshops am 22.02.

Am Vortag der Konferenz (Dienstag, 22. Februar 2022) sind außerdem Workshops zu verschiedenen verinice-Themen geplant. In kleinen Teilnehmergruppen sollen sie den intensiven Austausch mit FachkollegInnen und ReferentInnen ermöglichen. Das Workshop-Programm veröffentlichen wir in Kürze. Die Teilnahme ist unabhängig von der verinice.XP möglich.

Über die verinice.XP

Die verinice.XP bringt seit Jahren IT-EntscheiderInnen, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden zusammen. Sie alle verbindet die Nutzung von verinice  für das Management der Informationssicherheit oder das Datenschutz-Management. Ein Social Event wird voraussichtlich am Abend des 23. Februar 2021 im Konferenzhotel stattfinden. Über die Details – vor allem unter Berücksichtigung der dann gültigen Corona-Auflagen – informieren wir Sie noch.

Ab sofort steht verinice in Version 1.23.1 zum Download im verinice.SHOP zur Verfügung.

Dieses Update für verinice behebt einen Fehler beim Kopieren von Objekten. In der Einzelplatzversion von verinice 1.22.2 und 1.23 konnte die Funktion "Kopieren mit Verknüpfungen" nicht ausgeführt werden. Das Aufrufen der Funktion ist in der Version 1.23.1 wieder möglich.

verinice.PRO war von dem Fehler nicht betroffen. Im Betriebsmodus "Server" lässt sich die Funktion "Kopieren mit Verknüpfungen" auch in älteren Versionen fehlerfrei ausführen. Im Kundenrepository werden daher keine neuen verinice.PRO Pakete für die 1.23.1 veröffentlicht. Auf dem Server können weiterhin die Pakete für 1.23.0 verwendet werden.

Bitte beachten Sie für alle weiteren Informationen die ausführlichen Release Notes der Version 1.23.x.

Ab sofort stehen verinice und verinice.PRO in Version 1.23 zum  Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung. Das verinice.TEAM liefert mit verinice 1.23 mehr als 30 neue Funktionen, Detailänderungen und Fehlerbehebungen aus. Ausführlich sind diese in den Release Notes beschrieben.

Unter anderem verwendet verinice 1.23 jetzt Java 11. Das mit dem Client ausgelieferte Java Runtime Environment (JRE) von Adoptium (ehemals AdoptOpenJDK) wurde auf die neueste Version aktualisiert. Dazu sind in den Release Notes Update-Hinweise aufgeführt, die unbedingt beachtet werden müssen.

Zur Unterstützung neuerer Betriebssysteme wurde auf das RCP-Framework 2021-06 (4.20) aktualisiert. verinice bietet damit insbesondere eine bessere Unterstützung des Betriebssystems macOS Big Sur.

Sollten Sie Fragen haben oder Hilfe beim Update benötigen, kontaktieren Sie uns gerne – u.a. per E-Mail an verinice@remove-this.sernet.de. Auch im Forum können Sie sich gerne mit anderen Nutzerinnen und Nutzern sowie dem verinice-Team austauschen.

Der Termin für das Herbst-Release von verinice rückt näher: Version 1.23 erscheint in KW 40 (4. bis 8.10.2021).

Nutzerinnen und Nutzer können im verinice.FORUM unter "Roadmap" einen Blick auf die geplanten Feature für kommende Versionen werfen. Auch neue Funktionen können sie dort vorschlagen oder Spezifikationen zu bereits vorgeschlagenen Funktionen mit dem Team sowie weiteren verinice-Anwenderinnen und -Anwendern diskutieren.

Das Release von verinice 1.23 ist kurz vor der it-sa angesetzt. Die Messe zum Thema IT-Sicherheit findet vom 12. bis zum 14. Oktober in Nürnberg statt. Das verinice-Team wird in Halle 7a, Stand 326 anzutreffen sein und dort für Gespräche zu verinice zur Verfügung stehen. Auch über verinice.veo – die neue verinice-Generation – informiert das Team bei der it-sa gerne. Nutzen Sie unser Kontaktformular oder schreiben Sie uns eine Mail an itsa@sernet.de, wenn Sie sich gerne austauschen möchten. Bitte beachten Sie, dass am Stand ausschließlich Gespräche geplant sind. Ausführliche Produktpräsentationen finden aufgrund der Hygiene-Vorschriften nur remote statt. Terminwünsche – sowohl für vor-Ort-Treffen als auch Webmeetings – können Sie über das Kontaktformular übermitteln. Wir setzen uns dann mit Ihnen in Verbindung. 

2021 ist wieder it-sa-Jahr! Vom 12. bis zum 14. Oktober findet die Messe zum Thema IT-Sicherheit nach einjähriger Pause wieder in Nürnberg statt. In Halle 7a, Stand 326 wird das verinice.TEAM der SerNet GmbH gemeinsam mit den verinice-Partnern Cassini, SILA Consulting und c.a.p.e. IT präsent sein. 

Die Kolleginnen und Kollegen von SerNet sowie der Partner-Unternehmen stehen für Gespräche zu verinice zur Verfügung. Die Partner informieren außerdem über ihr eigenes Dienstleistungs-Spektrum wie den Aufbau eines Managementsystems für Informationssicherheit, Beratung zu Standards wie BSI IT-Grundschutz, ISO 27001 und weiteren sowie Zertifizierungs-Unterstützung. Die c.a.p.e IT GmbH berät außerdem zur Integration von verinice.PRO und KIX Professional.

Gerne könne Sie vorab einen Termin mit unseren Partnern oder uns vereinbaren. Nutzen Sie hierfür unser Kontaktformular oder schreiben Sie uns eine Mail an itsa@remove-this.sernet.de. Bitte beachten Sie, dass am Stand ausschließlich Gespräche geplant sind. Ausführliche Produktpräsentationen finden aufgrund der Hygiene-Vorschriften nur remote statt. Terminwünsche – sowohl für vor-Ort-Treffen als auch Webmeetings – können Sie über das Kontaktformular übermitteln. Wir setzen uns dann mit Ihnen in Verbindung. 

Sichern Sie sich ein kostenloses Tagesticket!

Gerne übermitteln wir Ihnen einen individuellen Registrierungslink für ein kostenloses it-sa-Ticket. Mit diesem können Sie an einem Messetag die it-sa erkunden und uns natürlich gerne an unserem Stand besuchen. Schicken Sie uns einfach eine E-Mail an itsa@remove-this.sernet.de, wir schicken Ihnen Ihren Link zum Ticket. 

Ab sofort stehen verinice und verinice.PRO in Version 1.22.2 zum Download im verinice.SHOP bzw. im Kundenrepository  zur Verfügung. verinice 1.22.2 (Release Notes) ist ein Sicherheits-Update. Das verinice.TEAM empfiehlt allen Anwenderinnen und Anwendern, den verfügbaren Patch so schnell wie möglich einzuspielen.

Mit verinice 1.22.2 behebt das Team eine Schwachstelle, Details dazu sind in den Sicherheitshinweisen beschrieben. Die offizielle CVE-ID lautet CVE-2021-36981. Wir bedanken uns insbesondere bei Frank Nusko (Secianus GmbH), der die Sicherheitslücke gefunden und uns darüber informiert hat. Gemeinsam konnte eine Coordinated Disclosure vorbereitet werden. 


Secianus wird in Kürze die Details der Schwachstelle veröffentlichen, so dass verinice-Anwenderinnen und -Anwender ausreichend Zeit für ein Update haben. Sollten Sie dabei Hilfe benötigen oder offene Fragen haben, kontaktieren Sie uns gerne über vertrieb@remove-this.sernet.de.

Mitschnitte der digitalen verinice.XP 2021 sind jetzt für alle Interessierten im YouTube-Channel des verinice-Teams verfügbar. https://youtube.com/playlist?list=PLYG8Ez-PzQxsaVYyKjfZZj5cJUuqBOxcR

Mit dabei:

• Dirk Brand (Silas Consulting) mit dem Vortrag "verinice beyond ISMS - Mit verinice integrierte Management-Systeme managen"
• Deniz Desti (HiSolutions AG) identifiziert die "Neuerungen im BSI IT-Grundschutz-Kompendium 2021"
• Rico Barth (cape IT GmbH) zeigt die "Unterstützung der ISO 27001-Zertifizierung durch den Einsatz des ITSM-Systems KIX"
• Kai Wittenburg (neam IT-Services GmbH), erläutert die Abbildung eines Microsoft 365 Sicherheitskonzepts in verinice
• Thomas Lundström (SoftEd Systems GmbH) zeigt, wie sich "Aus verinice das Management begeistern" lässt
• Alexander Koderman (SerNet) stellt in seinem Vortrag "Wenn es wirklich zählt – Besseres Schwachstellen-Management in fünf Minuten" das CSTOOL.io vor

Die nächste veriniceXP soll vom 22. - 24. Februar 2022 stattfinden. Details werden hier bekanntgegeben: https://verinicexp.org/

Das verinice.TEAM stellt ab sofort die vom BSI publizierten Benutzerdefinierten Bausteine für die Nutzung in verinice kostenfrei zur Verfügung. Sie können über den verinice.SHOP bestellt und heruntergeladen werden. Ein YouTube-Video von verinice-Consultant Yasmine Khemiri erläutert den Umgang mit dem Zusatzmodul. 

Anwenderinnen und Anwender des IT-Grundschutzes haben die Möglichkeit, ihre Expertise in den IT-Grundschutz einzubringen, indem sie sogenannte Benutzerdefinierte Bausteine erstellen. Dafür greift eine Institution ein Thema oder einen Teilaspekt heraus, für den noch kein IT-Grundschutz-Baustein veröffentlicht wurde und an dem sie arbeiten möchte. Die Verantwortlichen für Informationssicherheit können ihre Erfahrungen und Arbeitsergebnisse wie Sicherheitsbetrachtungen zu Gefährdungen und Anforderungen in die Form eines Bausteins bringen. Dieser benutzerdefinierte Baustein kann anschließend auf der IT-Grundschutz-Webseite veröffentlicht werden. Unternehmen, die sich mit ähnlichen Themen befassen wollen, können von dem bestehenden Know-how profitieren und die Inhalte bestenfalls weiterentwickeln.

Hinweis: Das BSI überprüft benutzerdefinierte Bausteine nicht inhaltlich, die Bausteine werden in der Regel nicht im IT-Grundschutz-Kompendium veröffentlicht. Bei einer hohen Nachfrage zu einem Thema, ist es möglich einen Baustein weiter zu überarbeiten und in das IT-Grundschutz-Kompendium aufzunehmen. Die Bausteine wurden von IT-Grundschutz-Anwendern erstellt und dem BSI freundlicherweise zur Veröffentlichung zur Verfügung gestellt. Sie dürfen zur Nutzung im Rahmen von IT-Sicherheitskonzepten nach IT-Grundschutz ohne Zustimmung durch den Autor und Angabe eines Quellennachweises kostenfrei verwendet werden.

Das IT-Grundschutz-Profil für Leitstellen steht ab sofort zum Einsatz in verinice (ab Version 1.22) zur Verfügung. Das Grundschutz-Profil wird vom Fachverband Leitstellen e.V. herausgegeben und kann nun direkt in verinice eingebunden werden. Erhältlich ist es als zusätzlicher Content bzw. Zusatzmodul kostenlos über den verinice.SHOP.

Informationssicherheitsprozess in Leitstellen etablieren

Anwender*innen hilft das IT-Grundschutz-Profil für Leitstellen dabei, einen Informationssicherheitsprozess in einer Leitstelle zu installieren und diesen an den entsprechenden Bedarf anzupassen. Die Grundschutz-Profile sind vom BSI als Schablone für Informationssicherheit gedacht: mit ihrer Hilfe sollen Anwender*innen, die ähnliche Sicherheitsanforderungen haben, anhand der Vorlage "ressourcenschonend das Sicherheitsniveau überprüfen oder damit beginnen, ein Managementsystem für Informationssicherheit (ISMS) nach IT-Grundschutz aufzubauen." (siehe BSI-Infoseite zu IT-Grundschutz-Profilen)

Das vorliegende Grundschutz-Profil soll insbesondere der zunehmenden Vernetzung der Leitstellen gerecht werden, durch die IT-Sicherheit eine sehr hohe Bedeutung für die Sicherstellung der Arbeitsfähigkeit erlangt. Erstellt wurde es in Zusammenarbeit von Bundesamt für Sicherheit in der Informationstechnik (BSI), Fachverband Leitstellen e.V., Bundesverband Professioneller Mobilfunk e.V. (PMeV) sowie Vertreter*innen aus Leitstellen und Fachfirmen. Zielgruppe dieses Profils sind in erster Linie die für Informationstechnik verantwortlichen Entscheidungstragenden aus dem Bereich der Leitstellen. Ebenso soll es Herstellern von Leitstellentechnik und mit der technischen Planung von Leitstellen beauftragten Fachplanern als Handlungsleitfaden für die Informationssicherheitskonzeption in Leitstellen dienen. Aber auch weitere Interessierte können das Musterszenario auf ihre individuellen Rahmenbedingungen übertragen.

Enthalten im "IT-Grundschutz-Profil Leitstellen für verinice" sind zwei Beispielorganisationen sowohl auf Basis des IT-Grundschutz-Kopendiums in Edition 2020 als auch in Edition 2021. Die aktualisierte Version hat das verinice.TEAM erstellt und kann optional eingesetzt werden – je nachdem mit welcher Edition Nutzer*innen arbeiten. Durch den Import der entsprechenden Datei in verinice steht dann ein Informationsverbund mit modellierten Zielobjekten entsprechend des IT-Grundschutz-Profils zur weiteren Verwendung und individuellen Anpassung zur Verfügung.

Das originale IT-Grundschutz-Profil für Leitstellen kann als PDF beim BSI heruntergeladen werden.