Neuigkeiten rund um verinice.

SerNet hat am am 26. und 27. Februar 2020 erneut eine verinice.XP veranstaltet. Die Folien zu den Vorträgen sind nun online.

Andrea Sudbrock (Handwerkskammer Ostwestfalen-Lippe zu Bielefeld) beleuchtete das Zusammenspiel von externem und internem Datenschutzbeauftragten. Der "Risikoanalyse zwischen BSI 200-3 und DIN/ISO 27005" widmete sich Kai Wittenburg (neam IT-Services), gefolgt von Martin Peters (Sec2do) mit einem Vortrag zur "Migration von BSI 100 auf BSI 200". Einen Blick auf den "IT-Grundschutz im Rest der Welt: Cybersecurity Framework und NIST SP 800-53" warf Alexander Koderman (SerNet).

Aus gleich zwei Universitätskliniken, an denen verinice im Einsatz ist, berichteten am 27. Februar Susanne Aust ("Modernisierter IT-Grundschutz am Beispiel des Universitätsklinikums Halle (Saale)") und Thomas Skerhutt (Charité Berlin, "Sprung durch die Welten – das ISMS als zentraler Knotenpunkt in Europas größtem Universitätsklinikum"). Außerdem auf dem Programm stand die "Gesetzeskonforme Datenschutz-Folgenabschätzung mit verinice.PRO" (Robert Raczynski), die "Teilautomatisierung der Risikoanalyse nach ISO 27005 durch Integration mit SecuriCAD" (Ulrich Heun, CARMAO) sowie die weitere Entwicklung von verinice (verinice-Product-Owner Michael Flürenbrock).

Allen Vortragenden sowie Besucherinnen und Besuchern spricht das verinice.TEAM einen Dank für eine interessante und diskussionsreiche Veranstaltung aus. Wir freuen uns bereits auf die verinice.XP 2021! Einen Termin hierfür geben wir in Kürze bekannt.

Das verinice.TEAM hat zwei neue Versionen des IT-Grundschutz-Kompendiums zur Nutzung in verinice (ab verinice 1.19) veröffentlicht. Vor allem die Version 8.0 / Edition 2020 enthält gegenüber der vorhergehenden Version 7.0 / Edition 2019 eine Vielzahl von Änderungen. Einzelplatz-NutzerInnen laden die neue Version im Downloadbereich herunter, verinice.PRO-KundInnen können das Update-Repository nutzen.

Details zur Edition 2020 beschreiben die Änderungsdokumenten des BSI. Die Errata des BSI vom 5. Februar 2020 sind bereits eingearbeitet und die vom verinice.TEAM ausgelieferte Datei auf dem neusten Stand.

AnwenderInnen sollten beachten, dass das BSI mit der Edition 2020 keine Umsetzungshinweise zur Verfügung stellt. Laut BSI werden diese zur Zeit grundlegend überarbeitet. Das verinice.TEAM hat sich dazu entschieden, die Umsetzungshinweise der Edition 2019 mit auszuliefern. Einerseits sind die Umsetzungshinweise nicht zertifizierungsrelevant, andererseits können die Umsetzungshinweise der Edition 2019 nach Rücksprache mit dem BSI weiter verwendet werden. Die Nutzung der Umsetzungshinweise in verinice kann über das Menü Bearbeiten >Einstellungen >BSI IT-Grundschutz >Modelliere Umsetzungshinweise/Maßnahmen festgelegt werden.

Die außerdem veröffentlichte Version 7.1 / Edition 2019 enthält gegenüber der vorhergehendenVersion 7.0 eine Korrektur seitens des BSI: Die Umsetzungshinweise des Bausteins INF.1 "Allgemeines Gebäude" wurden korrigiert (in der Vorgängerversion waren fälschlicherweise die Umsetzungshinweise des Bausteines "Allgemeiner Server" enthalten).

Mit dem in Kürze erscheinenden verinice 1.20 wird zudem ein Update auf neue Editionen des IT-Grundschutz-Kompendiums möglich. In Version 8.0 sind darum bereits entsprechende Änderungshinweise enthalten, Version 7.1 wurde darum gegenüber der Version 7.0 erweitert. Das nötig Vorgehen für das Update ist im verinice-Handbuch beschrieben, das mit verinice 1.20 ausgeliefert wird.

Auch 2020 erscheinen zwei neue verinice-Versionen. Die Termine für das Frühjahrs- sowie das Herbst-Release stehen bereits fest. Feature für die jeweiligen Versionen werden im verinice.FORUM bereits gesammelt und vorgestellt.

Folgende Termine sind geplant:

• UPDATE: Neuer Release-Termin für verinice 1.20 in KW 15 (6. bis 10. April 2020)
• verinice 1.21 in KW 45 (2. bis 6. November 2020)

In der Kategorie "Roadmap" im verinice.FORUM können Nutzerinnen und Nutzer einen Blick auf die geplanten Feature für die kommenden Versionen werfen. Außerdem können sie dort selbst neue Funktionen vorschlagen oder Spezifikationen zu bereits vorgeschlagenen Funktionen mit dem Team sowie weiteren verinice-Anwenderinnen und -Anwendern diskutieren.

Ziel der frühzeitig festgelegten und kommunizierten Termine ist es, Planungssicherheit zu geben und Updates produktiver verinice-Systeme weiter im Voraus planen zu können. Ein Feature-Freeze erfolgt jeweils einen Monat vor dem Release, um eine ausführliche Testphase zu gewährleisten.

Hinweis: Das verinice.TEAM hat den Release-Termin für verinice 1.20 um zwei Wochen verschoben.

Der verinice.PARTNERSofted Systems GmbH bietet in diesem Jahr Schulungen für verinice-AnwenderInnen an: Das Seminar "Modernisierter BSI IT-Grundschutz – ISMS-Umsetzung mit verinice und verinice.Pro" findet 2020 an mehreren Terminen und an mehreren Standorten statt. Alle Informationen und Buchungsmöglichkeiten auf den Seiten von SoftEd.

In zwei Tagen (16 Stunden) lernen die TeilnehmerInnen in zahlreichen Praxisübungen, wie sie mit verinice bzw. verinice.PRO ein ISMS gemäß BSI-Grundschutz einrichten und betreiben. Das Training richtet sich an Informationssicherheitsbeauftragte (CISO), IT-Leiter und -Mitarbeitende sowie Berater. Vorausgesetzt wird ein technisches Grundverständnis. Vorkenntnisse zum Thema Informationsschutz oder verinice sind nicht erforderlich.

Zu den Seminarinhalten gehören:

• Motivation für IT-Sicherheit, gesetzliche Rahmenbedingungen
• Managementsysteme für Informationssicherheit (BSI-Standard 200-1)
• IT-Grundschutz-Vorgehensweise (BSI-Standard 200-2, Grundschutzkompendium)
• Risikoanalyse (BSI-Standard 200-3)
• Reporting für Auditoren und das Management
• Zusammenarbeit mit Datenschutzbeauftragten

Das IT-Grundschutz-Profil "Basis-Absicherung Kommunalverwaltung" steht ab sofort für die Verwendung in verinice zur Verfügung (Download-Bereich). Es basiert auf dem BSI- Standard 200-2 "IT-Grundschutz-Methodik" und hilft dabei, Schwachstellen zu erkennen, Mindestsicherheitsmaßnahmen umzusetzen und so möglichst zügig das Schutzniveau in der Breite anzuheben.

verinice unterstützt AnwenderInnen des modernisierten IT-Grundschutz optimal bei Erstellung und Einsatz der IT-Grundschutz-Profile. Insgesamt sechs freigegebenen und vom BSI veröffentlichte Profile können nun in verinice importiert werden. Sie stehen auf der verinice-Webseite zum Download zur Verfügung.

Bereits für den Import in verinice sind außerdem veröffentlicht: 

• IT-Grundschutz-Profil für Handswerksbetriebe
• IT-Grundschutz-Profil für Handwerkskammern
• IT-Grundschutz-Profil für Papierfabriken
• IT-Grundschutz-Profil für die obersten Landesbehörden Deutschlands 
• IT-Grundschutz-Profil für Reedereien - Landbetrieb

Erarbeitet werden die IT-Grundschutz-Profile von AnwenderInnen für AnwenderInnen: Unternehmen oder Behörden können sie für bestimmte Anwendungsfälle erstellen und im Anschluss weiteren Interessierten zur Verfügung stellen. Damit verfolgt das BSI das Ziel, ein breites Portfolio an Musterszenarien für unterschiedliche Anwendungsfelder zu sammeln. Wer ähnliche Sicherheitsanforderungen hat, kann anhand dieser Vorlage ressourcenschonend das Sicherheitsniveau überprüfen oder damit beginnen, ein Managementsystem für Informationssicherheit (ISMS) nach IT-Grundschutz aufzubauen. Die Nutzung der IT-Grundschutz-Profile soll den zeitlichen und personellen Aufwand reduzieren.

Im verinice.FORUM können AnwenderInnen sich zudem über alle Aspekte rund um den Einsatz oder die Erstellung von IT-Grundschutz-Profilen und branchenspezifischen Sicherheitsstandards (B3S) nach § 8a BSIG austauschen.

Für verinice ist das Update 1.19.1 erschienen. Mit der neuen Version behebt das verinice.TEAM einen Fehler im VNA-Export. Ab sofort stehen verinice und verinice.PRO in Version 1.19.1 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung.

Hintergrund: Manche Datenmodelle ließen sich nicht oder nicht vollständig exportieren. Das Update auf verinice 1.19.1 wird allen Kundinnen und Kunden empfohlen, bei denen Probleme beim Export von Informationsverbünden des modernisierten IT-Grundschutz auftreten.

Bitte beachten Sie auch die ausführlichen Release Notes zu Version 1.19 für alle weiteren Informationen.

Die Agenda für die verinice.XP 2020 ist online: SerNet veranstaltet die Konferenz für Anwenderinnen und Anwender am 26. und 27. Februar 2020 in Berlin (Radisson Blu Hotel, Karl-Liebknecht-Strasse 3, 10178 Berlin). Noch bis zum 14. Dezember 2019 sind vergünstigte Early-Bird-Tickets erhältlich. Am 25. Februar findet zudem ein Workshop-Tag (separat buchbar) statt: Insgesamt vier Workshops widmen sich speziellen Themenfeldern wie der Umsetzung des modernisierten IT-Grundschutzes, der Einbindung von Branchenstandards und des Datenschutzes in verinice.

Early-Bird-Phase nutzen

Inna Thies (Cassini Consulting) startet am 26. Februar mit ihrem Vortrag "Gemeinsam statt einsam! Mit Outsourcing-Partnern Sicherheit managen" in die verinice.XP 2020. Karen Kämpf (Bundesamt für Informationssicherheit) folgt mit "Mindeststandards nach §8 Abs. 1 BSIG – Ein definiertes Sicherheitsniveau für die Informationstechnik des Bundes" in die verinice.XP. Andrea Sudbrock (Handwerkskammer Ostwestfalen-Lippe zu Bielefeld) beleuchtet das Zusammenspiel von externem und internem Datenschutzbeauftragten. Der "Risikoanalyse zwischen BSI 200-3 und DIN/ISO 27005" widmet sich Kai Wittenburg (neam IT-Services), gefolgt von Martin Peters (Sec2do) mit einem Vortrag zur "Migration von BSI 100 auf BSI 200". Einen Blick auf den "IT-Grundschutz im Rest der Welt: Cybersecurity Framework und NIST SP 800-53" wirft Alexander Koderman (SerNet), bevor der Tag mit einem gemeinsamen Social Event im Konferenzhotel ausklingt.

Aus gleich zwei Universitätskliniken, an denen verinice im Einsatz ist, berichten am 27. Februar Susanne Aust ("Modernisierter IT-Grundschutz am Beispiel des Universitätsklinikums Halle (Saale)") und Thomas Skerhutt (Charité Berlin, "Sprung durch die Welten – das ISMS als zentraler Knotenpunkt in Europas größtem Universitätsklinikum"). Außerdem auf dem Programm stehen die "Gesetzeskonforme Datenschutz-Folgenabschätzung mit verinice.PRO" (Robert Raczynski), die "Teilautomatisierung der Risikoanalyse nach ISO 27005 durch Integration mit SecuriCAD" (Ulrich Heun, CARMAO) sowie die weitere Entwicklung von verinice (verinice-Product-Owner Michael Flürenbrock).

Noch bis zum 14.12. sind für die Konferenz vergünstigte Early-Bird-Tickets zu haben. Diese kosten 399 Euro. Ab dem 15.12. liegt der reguläre Preis bei 499 Euro. Tickets sind über https://www.verinicexp.org erhältlich.

Workshops für die verinice-Nutzung

Vorgelagert sind nach dem Erfolg in den letzten Jahren wieder Workshops; dieses Mal mit deutlich ausgeweitetem Themenspektrum. Zur Auswahl stehen:

• Integration weiterer Standards in verinice am Beispiel von B3S für Healthcare (Dirk Brand, SILA Consulting)
• Umsetzung des modernisierten Grundschutzes in verinice (Ulf Riechen, Riechen Consulting)
• IT-Grundschutz und Datenschutz: Hand in Hand mit verinice (Inna Thies, Christopher Büttner & Tessa Witzigmann, Cassini Consulting)
• ISO 27001 und Datenschutz 3.0 (Tatjana Anisow & Sirin Torun, SerNet)

Die Teilnehmenden-Zahl ist begrenzt – schnelles Buchen lohnt sich. Die Teilnahme ist auch unabhängig von einem Konferenzbesuch möglich. Die Teilnahme an einem Workshop kostet 450 Euro.

verinice unterstützt AnwenderInnen des modernisierten IT-Grundschutz optimal bei Erstellung und Einsatz der IT-Grundschutz-Profile. Fünf lizenrechtlich freigegebenen und vom BSI veröffentlichte Profile können nun in verinice importiert werden. Sie stehen auf der verinice-Webseite zum Download zur Verfügung.

Erarbeitet werden die IT-Grundschutz-Profile von AnwenderInnen für AnwenderInnen: Unternehmen oder Behörden können sie für bestimmte Anwendungsfälle erstellen und im Anschluss weiteren Interessierten zur Verfügung stellen. Damit verfolgt das BSI das Ziel, ein breites Portfolio an Musterszenarien für unterschiedliche Anwendungsfelder zu sammeln. Wer ähnliche Sicherheitsanforderungen hat, kann anhand dieser Vorlage ressourcenschonend das Sicherheitsniveau überprüfen oder damit beginnen, ein Managementsystem für Informationssicherheit (ISMS) nach IT-Grundschutz aufzubauen. Die Nutzung der IT-Grundschutz-Profile soll den zeitlichen und personellen Aufwand reduzieren.

In Kürze steht auch das IT-Grundschutz-Profil "Basis-Absicherung Kommunalverwaltung" für die Verwendung in verinice zur Verfügung.

Im verinice.FORUM können AnwenderInnen sich zudem über alle Aspekte rund um den Einsatz oder die Erstellung von IT-Grundschutz-Profilen und branchenspezifischen Sicherheitsstandards (B3S) nach § 8a BSIG austauschen.

Das verinice.TEAM veröffentlicht mit verinice 1.19 eine in vielen  Punkten hinsichtlich Stabilität und Performance optimierte Version. Über 50 Detailverbesserungen und Bugfixes verbessern insbesondere die Bereiche Performance, AD-Import, Aufgaben-Workflow sowie  Report-Abfragen und Reporting. 

Alle Details zu verinice 1.19 finden Sie in den Release Notes, die neuen Features und Funktionen können Sie im verinice.FORUM mit anderen AnwenderInnen und dem verinice.TEAM direkt diskutieren.

Datenschutzmodul 3 mit Datenschutzfolgenabschätzung und Risikoanalyse

Das Datenschutzmodul in der Version 3 unterstützt AnwenderInnen bei  der Umsetzung der DS-GVO ab verinice 1.19 zusätzlich bei der  Datenschutzfolgenabschätzung (DSFA) und der Datenschutz-Risikoanalyse. Für die Risikoanalyse wurde das Datenschutzmodul um datenschutzrelevante Risikoszenarien erweitert. Zur besseren Orientierung sind die Gesetzestexte der DS-GVO, die  Erwägungsgründe und die Gesetztestexte des BDSG (neu) enthalten und entsprechend der Abhängigkeiten miteinander verknüpft. 

Mehr Informationen erhalten Sie hier im verinice.SHOP.

Neben der Variante zum Einsatz in der ISM-Perspektive wird das Datenschutzmodul 3 in wenigen Tagen auch in einer  Variante zum Einsatz in der Perspektive des modernisierten IT-Grundschutz verfügbar sein. AnwenderInnen können so direkt die  Baustein-Anforderungen des IT-Grundschutz-Kompendiums als TOM verwenden.

IT-Grundschutz-Profile

verinice 1.19 unterstützt AnwenderInnen des modernisierten IT-Grundschutz optimal bei Erstellung und Einsatz von IT-Grundschutz-Profilen. Alle vom BSI veröffentlichten und lizenrechtlich freigegebenen IT-Grundschutz-Profile können zum Import in verinice 1.19 in den kommenden Tagen von der verinice Webseite heruntergeladen werden. 

VDA ISA 4.1.1

verinice unterstützt mit der Version 1.19 den VDA ISA Katalog in der Version 4.1.1 für TISAX in deutscher und englischer Sprache. AnwenderInnen können in der VDA Perspektive Information Security  Assessments inklusive der Zusatzmodule Prototypen, Anbindung Dritter und Datenschutz durchführen. 

Nachdem vor einigen Monaten bereits die 32bit-Versionen für das Betriebssystem Linux eingestellt wurden, kommt nun auch bald das Ende für alte Windows-Betriebssysteme, die noch auf 32 bit laufen. Das nach der it-sa 2019 erscheinende verinice 1.19 wird die letzte Version sein, die noch Updates für 32bit-Windows beinhaltet. Die darauf folgende Version verinice 1.20 wird im Frühjahr 2020 erscheinen und dann wie unter Linux und macOS nur noch als 64bit-Variante erscheinen.

Den Verkauf der 32bit-Variante für Windows hat die SerNet bereits ab sofort eingestellt! Nur wer noch 32bit-Varianten im aktiven Einsatz hat, kann bis Frühjahr 2020 noch Updates dafür bekommen. 32bit-Anwendern wird dringend angeraten, so schnell wie möglich auf 64 bit umzusteigen.

Wenn es Fragen zu dieser Umstellung gibt, steht das Vertriebsteam der SerNet gerne zur Verfügung: Per Mail an vertrieb@sernet.de und telefonisch unter +49.551.370000-0.