FAQ

Was Sie wissen möchten

Ja, verinice wird laufend durch das verinice.TEAM weiter entwickelt:

  • Das verinice.TEAM besteht aus fest angestellten Entwicklerinnen und Entwicklern bei der SerNet GmbH und bei Partnerfirmen, die Teilaufträge der verinice-Entwicklung bearbeiten. Hinzu kommen Studienarbeiten im Rahmen von Bachelor- und Master-Arbeiten deutscher und internationaler Forschungseinrichtungen.
  • Der gesamte Entwicklungsplan für verinice wird in einem verinice.WIKI dokumentiert und dort zusammen mit Partnern und Kunden weiter entwickelt. Was nicht im verinice.WIKI steht, kommt nie. Was im verinice.WIKI steht, ist Teil der Zukunft von verinice. Zugang zum Wiki erhalten u.a. verinice.PRO-Kunden. Fragen Sie uns per Mail an verinice@remove-this.sernet.de nach einem Account.
  • Neben der kurz- und mittelfristigen Planung gibt es langfristige Vorhaben: In regelmäßigen Entwickler-Sitzungen steht die Plattform selbst zur Diskussion und wird ihre Zukunft geplant. Dies betrifft den freien verinice.CLIENT genauso wie den Server verinice.PRO.

Speziell für Testzwecke steht verinice.EVAL bereit: Diese Evaluierungsversion ist kostenfrei und mit nahezu allen Funktionen ausgestattet – nur das Reporting ist nicht enthalten. Es können also alle Eigenschaften eines ISMS-Werkzeuges getestet werden; lediglich auf den Export von Berichten in beliebigen Formaten müssen TesterInnen verzichten. Die Reporting-Funktion steht nur in der Vollversion von verinice zur Verfügung. 

verinice.EVAL ist ebenfalls über den verinice.SHOP zu beziehen. 

verinice ist frei, offen und erweiterbar: Dadurch ist das Tool in der Lage, jeden beliebigen Standard abzubilden. Bereits integriert sind der BSI IT-Grundschutz, ISO 2700x und VDA ISA. Mittels der umfangreichen Importfunktionen ist es möglich, je nach Nutzerbedarf weitere Standards und Kataloge zu ergänzen.

Zu den mit verinice umsetzbaren Standards gehören u.a. (Liste nicht abschließend):

  • BSI 100-1
  • BSI 100-2
  • BSI 100-3 (IT-Risikoanalyse)
  • BSI 100-4
  • ISO 27001
  • ISO 27002
  • ISO 27004
  • ISO 27005 (IT-Risikoanalyse)
  • ISO/IEC 27018
  • ISO 27019
  • BCBS 239
  • BDSG
  • BNetzA IT-Sicherheitskatalog (EnWG)
  • BSI TR-03145
  • COBIT
  • EU-DSGVO
  • IDW PS 330
  • IDW PH 9.330.1
  • IDW PS 880
  • IDW PS 951
  • IDW FAIT 1-3
  • ISAE 3402
  • ISO 22301 (BCM)
  • MaRisk-E
  • PCI DSS
  • SREP
  • SSAE 16
  • VDA ISA

Kontaktieren Sie uns gerne, wenn Sie wissen möchten, ob sich ein bestimmter Standard in verinice abbilden lässt. Senden Sie eine E-Mail an das verinice.TEAM unter verinice@remove-this.sernet.de.

verinice arbeitet mit der Version der IT-Grundschutzkataloge, die Sie von den BSI-Webseiten beziehen. 

Das BSI hat der Verwendung der Grundschutzkataloge in verinice offiziell zugestimmt! Die Verwendung der Inhalte wurde durch die SerNet GmbH in einem Lizenzierungsvertrag mit dem BSI geregelt, so dass Sie die Inhalte genau wie das Tool selbst kostenfrei nutzen können. 

Das Verwalten einer Verarbeitungsübersicht (Verfahrensverzeichnis = Verzeichnis der automatisierten Verfahren mit denen personenbezogene Daten verarbeitet werden) nach § 4g II i.V.m. § 4e BDSG ist mit verinice inklusive Berücksichtigung der technisch-organisatorischen Maßnahmen gemäß der Anlage zu §9 BDSG vollständig möglich. 

Seit verinice 1.7 ist ein Maßnahmen-Katalog mit technischen und organisatorischen Maßnahmen nach § 9 BDSG gem. IT-Grundschutz oder VDA ISA verfügbar. Ebenso steht ein Report zur Verfügung, der die Ausgabe der Verarbeitungsübersicht nach BDSG inkl. Berücksichtigung der Maßnahmen ermöglicht. (Download der dafür nötigen Report-Vorlage und Beispiel-Organisation)

verinice selbst ist ein Tool für das reine Sicherheitsmanagement. Es hilft dabei, Informationssicherheit in Organisationen zu etablieren, zu dokumentieren und zu optimieren. Ein Schwachstellenscan ist aber mit dem Greenbone Security Manager (GSM) möglich, der die Ergebnisse an verinice überträgt. Die Kopplung ermöglicht es auch, Maßnahmen zur Beseitigung der Schwachstellen einzuleiten, Aufgaben sowie Zuständigkeiten zuzuweisen und den Erfolg durch erneute Scans zu überprüfen. Weitere Details zur GSM-verinice-Integration finden Sie hier. 

verinice benutzt eine ZIP-Datei mit dem Inhalt der Grundschutzkataloge. Beim Download über Safari packt dieser die ZIP-Datei automatisch aus, wodurch sie in verinice nicht mehr angegeben werden kann.

Deaktivieren Sie das automatische Auspacken von ZIP-Dateien in Safari über Safari Einstellungen > Allgemein > Sichere Dateien nach dem Laden öffnen.

Alternativ können Sie auch einen anderen Browser (z.B. Chrome / Firefox) verwenden.

Falls Sie eine frühere Ergänzungslieferung der Grundschutzkataloge einbinden möchten, finden Sie diese ebenfalls in den verinice-Downloads unter der Kategorie "Kataloge und Mehr".


Hinweise für verinice (Standalone)

Ihre Datei muss in den Einstellungen von verinice ausgewählt werden:
Menu -> Einstellungen -> BSI IT-Grundschutz -> <DATEINAME.zip>

Falls die veränderten Inhalte nach dem Einlesen nicht angezeigt werden, schließen Sie bitte die Anwendung. Löschen Sie dann den Ordner gscache. Er befindet sich im verinice-Heimatverzeichnis Ihres
Benutzers, unter Windows 7 z.B. hier: C:\Benutzer\<Benutzername>\verinice\workspace\gscache

Löschen Sie den Ordner gscache mitsamt aller enthaltenen Dateien und starten danach den Client neu. Die neuen Kataloge sollten nun nochmals eingelesen werden.

 

Hinweise für verinice.PRO

Für Anwender von verinice.PRO liegt die Ergänzungslieferung als neues RPM-Paket im Repository, das über den gewöhnlichen Update-Befehl eingespielt werden kann. Nach dem Update des RPM-Pakets muss die Konfiguration des verinice.PRO Servers geändert werden, damit die neue Datei eingelesen wird. Ändern Sie in der Datei: 

/usr/share/tomcat6/webapps/veriniceserver/WEB-INF/veriniceserver-plain.properties

die Property

veriniceserver.grundschutzKataloge

auf den Wert:

veriniceserver.grundschutzKataloge=/WEB-INF/<DATEINAME.zip>

Um den neuen Grundschutzkatalog sofort einzubinden, muss der Cache des Applikationsservers geleert werden. Gehen Sie dazu wie folgt vor:

  1. Halten Sie den Tomcat-Server an.
  2. Löschen Sie alle Inhalte im Ordner /var/cache/tomcat6/temp/
  3. Nehmen Sie nun die Änderungen an der Datei veriniceserver-plain.properties vor. Diese liegt im Verzeichnis /usr/share/tomcat6/webapps/veriniceserver/WEB-INF/ und beinhaltet die Einstellungen des zu benutzenden Grundschutz-Katalogs (falls noch nicht geschehen).
  4. Starten Sie den Tomcat-Server neu. 

Die vorkonfigurierte Sprache von verinice ist immer die des Betriebssystems (über Umgebungsvariablen erkannt).

Von Hand ändern kann man dies, indem man in die Datei <verinice-Installationsordner>/verinice.ini einträgt:

  • -Dosgi.nl=en
  • -Dosgi.nl=de

Wählen Sie den ersten Eintrag für englische Sprache oder den zweiten für deutsche Sprache. 

Wenn verinice unter Windows 7 oder Vista unter "C:\Programme"
installiert wird, muss das Update mit Administratorrechten ausgeführt
werden (siehe Link). Sonst schlägt es fehl. Schuld daran ist der
"VirtualStore" Mechanismus von Windows Vista / Windows 7:

http://social.msdn.microsoft.com/Forums/en/windowssecurity/thread/e85a62b7-d7c6-4d77-8b4c-11d5892b7218social.msdn.microsoft.com/Forums/en/windowssecurity/thread/e85a62b7-d7c6-4d77-8b4c-11d5892b7218

Die Alternative ist, verinice in einem Ordner zu installieren, in dem
Ihr normaler Benutzer Schreibrechte hat, z.B. unter C:\<Benutzer>\. 

Um problemlos mit verinice-MySQL-Datenbank-Dumps unter Linux arbeiten zu können, sollte der MySQL-Dienst unter Linux mit der Option

lower_case_table_names=1 

(eingefügt in die Datei /etc/my.cnf) neu gestartet werden, um so die Groß- und Kleinschreibung zu ignorieren.

(Danke an R. Maczkowsky, m-privacy.de)

Um einen Datenimport aus dem GS-Tool vorzunehmen, wird die Portnummer des SQL-Server-Dienstes gebraucht. Diese Portnummer müssen Sie bei den Einstellungen zum GSTOOL-Import in verinice eingeben.

Die Portnummer können Sie folgendermaßen herausfinden: Der SQL-Server läuft auf dem System, auf dem GSTOOL installiert ist, ständig im Hintergrund. Klicken Sie auf "Windows Start" / "Ausführen...". Aktivieren Sie die Eingabezeile und tippen "cmd" ein - bestätigen Sie die Eingabe mit "OK". In das neu geöffnete Kommandozeilenfenster tippen Sie bitte den Befehl "netstat -a -b" ein. Eine Tabelle mit aktuellen Verbindungen wird angezeigt. Hier suchen Sie in der ersten Spalte nach "[sqlservr.exe]", bei der der Status in der dritten Spalte auf "LISTEN" oder "ABHÖREN" steht. Eine Zeile über "[sqlservr.exe]" finden Sie hinter dem Hostnamen und einem Doppelpunkt die Portnummer als (meist vierstellige) Zahl. Dies ist die für den Import benötigte Portnummer, die Sie in den verinice-Einstellungen für den GS-Tool-Import eintragen müssen. 

Wenn man zwei Objekte miteinander verknüpfen will und diese Funktion bisher nicht in verinice implementiert ist, so kann man das selbst ergänzen!

In der Datei "SNCA.xml" kann man solche Verknüfungsmöglichkeiten nachträglich einbauen. Diese Datei liegt bei verinice.PRO im Ordner "../WEB-INF" und in der Standalone-Version von verinice im JAR-File "sernet.gs.server.jar" (Dieses Jar-File lässt sich mit Programmen wie z.B. WinZIP öffnen).

Tragen Sie dort nun eine Beziehung als <huirelation> zusätzlich ein. Beispiele hierzu finden Sie in der Datei selbst.

Mit dem CSV-Import-Wizard können Sie beliebige vorhandene Objekte in tabellarischer Form in verinice leicht einlesen.

Eine ausführliche Anleitung finden Sie im verinice-Handbuch in Kap. 11.6.


English languageDeutsche Sprache
© SerNet GmbH, 2017