verinice.
Das Open-Source ISMS-Tool

verinice.

verinice ist ein ISMS-Tool – ein Werkzeug für das Management von Informationssicherheit. Als Standardanwendung für Windows, Ubuntu Linux und macOS ermöglicht es mit sofort einsatzbereiten Lösungen den schnellen Einstieg in BSI IT-Grundschutz, ISO 27001 und eine effiziente Verknüpfung mit Datenschutz (DSMS) und Notfallmanagement (BCMS). verinice ist anpassbar, flexibel erweiterbar und skalierbar. Es ist außerdem das einzige Tool seiner Art unter Open-Source-Lizenz (GPLv3) mit vollständig offengelegtem Quellcode. Erhältlich ist das klassische verinice als jährliche Subskription und kann mit Zusatzmodulen angereichert werden. verinice.PRO ist der Applikations-Server für den verinice-Client und ermöglicht das verteilte Arbeiten in Teams.

Das verinice der nächsten Generation unter dem Namen verinice.veo ist schrittweise ab Ende 2024 verfügbar. Mehr Informationen dazu gleich "nebenan"!

ISMS

verinice ist ein ISMS-Tool für das Management von Informationssicherheit. Die Software steht unter der Lizenz GPLv3 zum Download als OpenSource-Software bereit.

verinice eignet sich:

  • zur Implementierung von BSI IT-Grundschutz
  • für den Betrieb eines ISMS nach ISO 27001
  • zur Risikoanalyse nach ISO 27005
  • für ein Information Security Assessment (ISA) nach VDA-Vorgaben (VDA ISA)
  • allgemein für die Arbeit mit den folgenden Standards: ISO 27001, ISO 27002, ISO 27005, ISO 27018, ISO 27019, ISO 27004, BSI 200-1 bis -4, PCI DSS, COBIT, BDSG, EU DSGVO, SSAE 16, BCBS 239, ISAE 3402, MaRisk-E, SREP, VDA ISA, IDW PS 330, IDW PH 9.330.1

verinice unterstützt die Betriebssysteme Windows, Linux und macOS und hat das IT-Grundschutz-Kompendium des BSI lizenziert.

Alle relevanten Standards sind entweder im Tool vorhanden oder können einfach implementiert werden. Alle Daten inkl. aller erstellten Dokumente sind in einer Objekt-Datenbank abgelegt, die an die Anforderungen von IS-Management angepasst und dynamisch erweiterbar ist.

IT-Grundschutz (BSI)

verinice hat das BSI-Grundschutzkompendium lizenziert und in das ISMS-Tool integriert. Die speziell darauf abgestimmte Grundschutzperspektive ermöglicht Ihnen fokussiertes Arbeiten.

Mit verinice können Sie sofort mit der Modellierung Ihres IT-Sicherheitskonzepts beginnen. Dabei folgen Sie der IT-Grundschutz-Vorgehensweise nach BSI-Standard 200-2. verinice unterstützt Sie bei der Strukturanalyse, Schutzbedarfsdefinition sowie Schutzbedarfszuordnung und beherrscht automatische Schutzbedarfsvererbung. Definieren und verwalten Sie Rollen- und Berechtingungskonzepte. Führen Sie Basis-Sicherheitschecks, ergänzende Sicherheits- oder geführte Risikoanalysen (BSI-Standard 200-3) durch. Erstellen Sie einen Realisierungs- und Prüfplan.

Mit dem Ende des GSTOOL mussten alle Anwendenden auf ein neues Werkzeug umstellen. Genau ein Nachfolger – verinice – ist

  • unter der GPL als freie Software geschrieben,
  • beim BSI lizenziert,
  • ohne Hintertüren programmiert
  • mit öffentlich auf GitHub hinterlegtem Quellcode.

Risikoanalyse

Mit verinice können Sie eine vollständige Risikoanalyse Ihrer Informationswerte durchführen und aus den Ergebnissen weitere Handlungen ableiten.

  • Erfassen Sie Bedrohungen und Schwachstellen aus vorhandenen Quellen wie einem Schwachstellenscanner oder einem Penetrationstest.
  • Verwenden Sie die Ergebnisse in Ihrer Risikoanalyse und erstellen Sie automatisch eine Risikobewertung für alle Assets.
  • Egal ob Sie Ihre Risiken nach ISO 27005, BSI-Standard 200-3 oder einem anderen Verfahren bewerten: verinice unterstützt Sie dabei!

Erstellen Sie eigene Risikoszenarien oder nutzen Sie den Gefährdungskatalog des BSI IT-Grundschutz. Alle Gefährdungen können auch bei einer Risikoanalyse nach ISO 27005 verwendet werden – damit ermöglicht Ihnen verinice Risk Assessments komfortabel per Drag-n-Drop.

verinice.PRO enthält zusätzlich einen Katalog mit generischen Risikoszenarien. Er ist in Bedrohungen und Schwachstellen aufgeschlüsselt, um eine einfache und realitätsnahe Bewertung von Risiken zu ermöglichen. Über den verinice-Shop können Sie den Risikokatalog für die verinice-Einzelplatzversion beziehen.

Self Assessments (VDA ISA)

Fragenkataloge wie z.B. das Information Security Assessment (ISA) des Verbands der Automobilindustrie (VDA) auf Basis der ISO 27002 bieten branchenübergreifend die Möglichkeit, sich selbst oder die beauftragten Dienstleister zum Stand der Informationssicherheit einzuschätzen. In enger Zusammenarbeit mit dem VDA hat das verinice.TEAM eine eigene Arbeits-Perspektive für die geführte Selbsteinschätzung entwickelt. Der VDA-ISA-Katalog liegt dazu vollständig in deutscher und englischer Fassung vor und ist in verinice standardmäßig enthalten.

Mit etwa einem Tag Aufwand erhalten Sie mit verinice-Bordmitteln eine Momentaufnahme der Informationssicherheit in Ihrer Organisation. Diese eignet sich

  • um den Stand an die Unternehmensleitung zu kommunizieren,
  • Fortschritte innerhalb eines IS-Projektes festzustellen
  • und vereinfacht die Abgabe der Ergebnisse.

Mit der Kombination von verinice und VDA ISA gelingt Ihnen der Einstig in das IS-Management.

Asset-Register

Mit Hilfe von verinice pflegen Sie Ihre Prozesse und Informationswerte. Ein Asset-Register im Sinne der ISO 27001 (Inventory of Assets) lässt sich auf Knopfdruck exportieren.

Verknüpfen Sie Ihre Assets mit Prozessen, Prozesseigentümern und anderen Assets. verinice beherrscht die automatische Vererbung von Business Impact Werten im Asset-Baum. Zusätzliche Filter- und Bearbeitungsfunktionen wie z.B. der Masseneditor erleichtern die tägliche Arbeit zusätzlich.

Eine Vielzahl von Import- und Export-Formaten (CSV, XML, XLS...) erleichtert die Übernahme von Daten aus vorhandenen Quellen und die weitere Verarbeitung mit anderen Tools.

Dokumente und Aufzeichnungen

Mit verinice verwalten Sie Ihre ISMS-Dokumentation:

  • Legen Sie Regelungen, Richtlinien und Aufzeichnungen jeder Art in verinice strukturiert ab.
  • Pflegen Sie Metadaten wie Autor, Version und Freigabe.
  • Bewahren Sie alles revisionssicher in mehreren Versionen.

Die Dokumente können direkt in der verinice-Datenbank abgelegt oder über URLs in externen Quellen (DMS, Wiki etc.) referenziert werden. So bringen Sie Ihre gesamte Dokumentenpyramide an einer zentralen Stelle zusammen, egal wie verteilt die Dokumente in Ihrer Organisation angelegt werden.

All diese Funktionen bietet bereits die verinice-Einzelplatzversion. Mit verinice.PRO erhalten Sie zusätzlich ein zentrales Repository, auf das mehrere Benutzende von unterschiedlichen Standorten zugreifen können.

Reporting

Das Erstellen von Berichten für Prüfende, Geschäftsleitung, Prozessverantwortliche und schließlich die Zusammenstellung von Referenzdokumenten für die Zertifizierung ist eine der Stärken von verinice. verinice-Berichte dienen der Dokumentation und Übersicht, als Entscheidungs- und Planungshilfe und zeigen anschaulich in Tabellen sowie Charts den Zustand der Informationssicherheit in Ihrer Organisation.

Auf Knopfdruck können Sie

  • die Referenzdokumente des BSI für den IT-Grundschutz (A1 - A7) ausgeben,
  • einen VDA ISA-Report erzeugen,
  • Sofortmeldungen bzw. statistische Gesamtmeldungen an das BSI erstellen,
  • alle Berichte in einer Vielzahl von Formaten (z.B. PDF, HTML, DOC, XLS,ODT, ODS) ausgeben und veröffentlichen oder auf Wunsch weiter bearbeiten.

Anwendende von verinice.PRO erhalten zusätzlich den vDesigner – den Report-Designer von verinice.PRO. Damit lassen sich alle Vorlagen anpassen – angefangen von den Inhalten bis hin zum Branding/Corporate Design – oder vollständig eigene Reports erstellen.

Schnittstellen

verinice ist offen: Das Werkzeug setzt auf OpenSource, offene Standards und bietet selbst zahlreiche Schnittstellen.

Der Inventory/Asset-Import (XML-Schnittstelle) oder die Volltextsuche mit CSV-Export sind nur zwei der Import- und Exportformate von verinice. Sie erleichtern die Übernahme von Daten aus vorhandenen Quellen und die weitere Verarbeitung mit anderen Tools. Das ermöglicht z.B. den Import eigener Kataloge, mit denen Sie individuelle Arbeitsvorgaben oder Standards umsetzen können.

Die Kopplung von verinice mit einem Open Vulnerability Assessment System (OpenVAS) wie z.B. dem Greenbone Security Manager (GSM) integriert Schwachstellenscans zu einem zentral gesteuerten Prozess für das Schwachstellenmanagement

Mit dem auf BIRT basierenden vDesigner erstellen Sie individualisierte Reports und können diese in verinice verwenden.

Audits & Zertifizierungen

Mit verinice gestalten Sie Audits effizient und nachhaltig, egal ob Sie das Tool für interne oder externe Prüfungen einsetzen. Sie können beispielsweise auf Standardkataloge wie ISO 27001 oder das vollständige BSI IT-Grundschutzkompendium zurückgreifen.

Für Grundschutzauditoren schaffen spezielle Eingabemasken und angepasste Reports größtmögliche Effizienz bei Zertifizierungsaudits, insbesondere bei der Verifikation des Basis-Sicherheitschecks. ISO 27001 Lead Auditoren, Wirtschaftsprüfer und IT-Revisoren profitieren von vorbereiteten Fragenkatalogen, Eingabemasken und einer Vielzahl an Hilfsfunktionen. Dazu gehören das dynamische Objektmodell, das sich an die eigene Arbeitsweise anpassen lässt, die Unterstützung für Reifegradmodelle sowie der Import von Interviewpartnern aus einem Active Directory u.v.m.

verinice wird von IS-Auditoren für IS-Auditoren entwickelt und daher konstant an die Bedarfe der Praxis angepasst.

Gemeinsam sicher

Eine Stärke von verinice liegt in der lebendigen und engagierten Community, die sich um das Projekt sammelt. Diese besteht aus Anwendenden, Entwickelnden und Sicherheitsexperten. Das verinice-Team erhält durch den regelmäßigen Austausch wertvolles Feedback, innovative Ideen und praktische Lösungen – gefördert wird dies durch die jährliche verinice.XP-Konferenz, regelmäßige Workshops, eine Community-Plattform und ein aktives Partner-Netzwerk

Diese enge Zusammenarbeit sorgt dafür, dass verinice eine Lösung von Praktizierenden für Praktizierende ist.

Kontakt aufnehmen
Kontakt