Release Notes

Versions-Hinweise und Informationen

Aktuelle Version: verinice 1.27

Codename: Siargao

Veröffentlichung: Januar 2024

Download: verinice.SHOP oder Kundenrepository

Neue Funktionen

Business Continuity Management

Das Business Continuity Management nach BSI-Standard 200-4 wurde auf den aktuellen Stand angepasst und um weitreichende Funktionalitäten erweitert:

  • Der neue View Business-Impact-Analyse stellt Abhängigkeiten zwischen Prozessen und Zielobjekten zur besseren Gesamtbeurteilung graphisch dar.

  • Die neuen Reports für das Business Continuity stehen inklusive einer Beispielorganisation im separat downloadbaren Produkt Business Continuity Management BCMS (200-4) zur Verfügung.

Reportvorlage Management Summary IT-Grundschutz

Der neue Übersichtsreport Management Summary IT-Grundschutz präsentiert die wichtigsten Daten zum IT-Grundschutz (je nach gewählter Vorgehensweise der Absicherung z.B. Strukturanalyse, Schutzbedarfsfeststellung, IT-Grundschutz-Check und Risikoanalyse) in kompakter graphischer Form dar.

Neue Pakete für RHEL 8 und AlmaLinux 8

Für verinice 1.27 werden sowohl für Red Hat Enterprise Linux (RHEL) 7 und CentOS 7, als auch für RHEL 8 und AlmaLinux 8 RPM-Pakete bereitgestellt.

Aufgrund des Endes des Supports für CentOS und RHEL 7 am 30. Juni 2024 werden die RPM Pakete für diese Versionen zum letzten Mal mit verinice 1.27 bereitgestellt! Es wird allen Anwenderinnen und Anwendern empfohlen, zeitnah auf AlmaLinux 8 bzw. RHEL 8 zu migrieren.

Fehlerbehebung und Detailverbesserungen

Performanceverbesserungen

  • Die Erzeugung von Verknüpfungen wurde signifikant beschleunigt.

  • CSV- und VNA-Import wurden beschleunigt.

Client unter macOS

  • Die verinice Einzelplatzversion (verinice.Subskription und verinice.EVAL) steht als macOS-Installationspaket (.pkg) zur Verfügung.

  • Der Splash-Screen unter macOS wird korrekt angezeigt.

Detailverbesserungen

  • Benutzerdefinierte Perspektiven können gelöscht werden.

  • Das Beschreibungsfeld zur Umsetzung von Anforderungen/Maßnahmen im IT-Grundschutz wurde vergrößert.

Produktpflege

  • Update der Entwicklungsumgebung RCP auf Version 2023-09 (4.29).

  • Java 17 als Laufzeitumgebung für den Client.

Fehlerbehebungen

  • Behebung eines Fehlers beim Ändern der Icons von Objekten.

  • Behebung eines Fehlers bei der Risikoberechnung im Masseneditor.

  • Behebung eines Fehlers beim Wiederherstellen der Standardwerte in den Editoreinstellungen.

  • Korrektur der alphanumerische Sortierung im Report A.1 Strukturanalyse-Abhängigkeiten.

Sicherheitshinweise

Neue Aktionen

keine

Geänderte Property Dateien

  • veriniceserver/WEB-INF/SNCA.xml

  • veriniceserver/WEB-INF/snca-messages_??.properties

  • veriniceserver/WEB-INF/verinice-auth-default.xml

Datenbankänderungen

keine

Neue AlmaLinux-Appliance

Die verinice.PRO-Appliance basiert seit verinice 1.27 bereits auf AlmaLinux. Bitte beachten Sie insbesondere, dass vor der Installation des verinice.PRO-Servers ein weiterer öffentlicher Paketschlüssel importiert werden muss! Für Details werfen Sie bitte einen Blick in das verinice-Handbuch: verinice.PRO - Installation unter AlmaLinux 8 und RHEL 8 Kapitel  4.3.1. verinice  Repository.

Codename: Mal de Plata

Veröffentlichung: Mai & Juli 2023

Ab sofort stehen verinice und verinice.PRO in Version 1.26.1 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung.

Das verinice-Team stellt mit verinice 1.26 neue Funktionen, Detailänderungen und Fehlerbehebungen bereit.

Wichtigstes neues Feature ist die Unterstützung für die neue ISO/IEC 27001:2022 in verinice 1.26. Es ist geplant den neuen verinice Risikokatalog mit den relevanten Inhalten der ISO 27001-Familie zeitnah zu veröfffentlichen. Parallel wurde die Anpassung der Risikoanalyse in der Perspektive ISM/ISO vereinfacht, in den zugehörigen Report-Vorlagen können jetzt die Risikomatrizen für Vertraulichkeit, Integrität und Verfügbarkeit angepasst werden.

Im Rahmen der Produktpflege wurden in verinice 1.26 neben zahlreichen Detailverbesserungen und Fehlerbehebungen die RCP-Entwicklungsumgebung und das JDK aktualisiert.

verinice 1.26.1 behebt zusätzlich zwei Fehler:

  • Die Signierung der verinice-Pakete wurde auf SHA-256 korrigiert, da bei der Installation unter Windows vereinzelt Warnungen vom Microsoft Defender gemeldet wurden.

  • Das Handling der Unicode-Codierung wurde verbessert, um ein theoretisch mögliches Path Traversal zu verhindern, siehe CWE-176: Improper Handling of Unicode Encoding für Details. Die Ausnutzung wird allerdings im Nutzungsszenario von verinice als nicht real bewertet.

Das Update ist entsprechend für alle Anwendenden empfohlen, die bei der Client-Installation unter Windows Microsoft-Defender-Warnungen erhalten.

Als Administrator eines verinice.PRO-Servers beachten Sie bitte auch den Sicherheitshinweis am Ende dieser Release Notes!

Neue Funktionen (verinice 1.26)

Risikokatalog ISO/IEC 27001:2022

Mit verinice 1.26 ist geplant den verinice-Risikokatalog auf Grundlage der neuen ISO/IEC 27001:2022 zu veröffentlichen.

Das Objekt Control wird dazu erweitert um die neuen Attribute:

  • Maßnahmenart ist ein Attribut für die Sicht auf die Maßnahmen unter dem Gesichtspunkt, wann und wie eine Maßnahme das Risiko in Bezug auf das Auftreten eines Informationssicherheitsvorfalls verändert.

  • Informationssicherheitseigenschaften sind ein Attribut, mit dem Maßnahmen unter dem Gesichtspunkt betrachtet werden können, welches Schutzziel durch die Maßnahme unterstützt werden soll.

  • Cybersicherheitskonzepte betrachtet Maßnahmen aus der Perspektive der Zuordnung von Maßnahmen zu dem in ISO/IEC TS 27110 beschriebenen Cybersicherheitsrahmenwerk.

  • Betriebsfähigkeit betrachtet Maßnahmen aus der Perspektive ihrer operativen Informationssicherheitsfähigkeiten und unterstützt eine praktische Anwendersicht auf die Maßnahmen.

  • Sicherheitsdomänen sind ein Attribut, mit dem Maßnahmen aus der Perspektive von vier Informationssicherheitsdomänen betrachtet werden können.

Die Risikoreports können durch Änderung der Risikoparameter in den Report-Vorlagen einfacher an kundenspezifische Anforderungen angepasst werden.

Fehlerbehebung und Detailverbesserungen (verinice 1.26.1)

  • Korrektur der Paket-Signierung auf SHA-256.

  • Verbesserung des Handling der Unicode-Codierung.

Fehlerbehebung und Detailverbesserungen (verinice 1.26)

IT-Grundschutz

  • Die Icon-Decorator für die Risikoanalyse im modernisierten IT-Grundschutz werden unabhängig von der Berechtigung (Action-ID) Risikokonfiguration angezeigt.

  • Der fehlerhafte CSV-Import von Geschäftsprozessen im modernisierten IT-Grundschutz wurde behoben.

  • Die Filterung berücksichtigt Objekte, die mehrere Änderungstypen aufweisen.

Business Continuity Management

  • Die englische Übersetzung wurde vervollständigt und einige Schreibfehler behoben.

Report-Vorlagen

  • Im Report A.1 Strukturanalyse mit Abhängigkeiten werden jetzt alle verknüpften Objekte ausgegeben.

  • Im Report A.5 Risikoanalyse werden alle Informationen zum Informationsverbund korrekt ausgegeben.

  • In den ISM-Reportvorlagen Risikoanalyse und Risikobehandlung wurden fehlende Übersetzungen ergänzt.

vDesigner

  • Behebung eines Fehlers, der die Column-Names in Report-Abfragen überschrieb (das Encoding beim CSV-Export kann in den Einstellungen vorgegeben werden).

Allgemeines (Produktpflege)

  • Update des RCP-Entwicklungs-Frameworks auf Version 2022-09 (4.25).

  • Update des Java Development Kits im Client auf JDK auf 11.0.18+10.

  • Gruppenobjekte werden korrekt in den Suchindex aufgenommen.

  • Übersetzung einiger Properties in der SNCA.xml ergänzt.

Sicherheitshinweise

Neue Aktionen

keine

Geänderte Property Dateien verinice 1.26

  • veriniceserver/WEB-INF/SNCA.xml veriniceserver/WEB-INF/snca-messages_??.properties

Datenbankänderungen

keine

Codename: Sultans
Veröffentlichung: November 2022

Ab sofort stehen verinice und verinice.PRO in Version 1.25 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung. Das verinice.TEAM stellt mit verinice 1.25 um die 70 neue Funktionen, Detailänderungen und Fehlerbehebungen bereit.

Ab verinice 1.25 kann das Notfallmanagement / Business Continuity Management (BCM) dokumentiert werden. Dabei wurde sowohl der BSI-Standard 200-4 1.CD als auch ISO 22301:2019 implementiert. Es können Kernprozesse identifiziert, Kritikalitätsdaten erfasst, Ausfallszenarien definiert und relevante Systeme für den Wiederanlauf festgelegt werden. Die Neuerungen sind in der bekannten IT-Grundschutz und ISM-Perspektive zu finden, so kann von bereits erfassten Daten profitiert und die Synergien zwischen ISMS und BCMS genutzt werden.

Darüber hinaus wurden Erweiterungen im Reporting vorgenommen. Neben zahlreichen Verbesserungen und Fehlerbehebungen in den Reports, ist es nun möglich mehrere Reports für einen Scope auf einmal auszugeben. Zusätzlich kann eine Klassifizierung für die Reports vorgenommen werden.

Als Administrator*in eines verinice.PRO-Servers beachten Sie bitte auch den Sicherheitshinweis am Ende dieser Release Notes!

Neue Funktionen

Business Continuity Management

Die Dokumentation für das Notfallmanagement / Business Continuity Management (BCM) kann nun in verinice erfolgen. Sowohl der BSI-Standard 200-4 1.CD als auch ISO 22301:2019 wurden implementiert. Es können Kernprozesse identifiziert, Kritikalitätsdaten erfasst, Ausfallszenarien definiert und relevante Systeme für den Wiederanlauf festgelegt werden. Die Neuerungen sind in der bekannten IT-Grundschutz und ISM-Perspektive zu finden, so kann von bereits erfassten Daten profitiert und die Synergien zwischen ISMS und BCMS genutzt werden. Zahlreiche Erweiterungen wurden an folgenden Zielobjekten vorgenommen:

  • Informationsverbund / Scope

  • Dokumente

  • Personen

  • Geschäftsprozesse / Prozesse

  • Zielobjekte (Anwendungen, IT-Systeme, ICS-Systeme, Andere/IoT-Systeme, Kommunikationsverbindungen, Räume) / Assets

  • Baustein-Anforderungen / Controls

  • Maßnahmen / Anforderungen

verinice 1.25: BCM - Geschäftsprozesse erfassen

Abbildung 1. BCM - GS: Geschäftsprozess

Erweiterungen im Reporting

  • Ausgabe von mehreren Reports auf einmal: Dabei können mehrere Berichte auf einmal selektiert werden. Erzeugt und ausgegeben werden diese nacheinander im gewünschten Ablageverzeichnis.

  • Klassifizierung von Reports: Beim Erzeugen der Reports kann die Klassifizierung der Reports eingestellt werden. Diese wird im Report in der Kopfzeile auf jeder Seite ausgegeben. Standardmäßig sind vier Stufen vordefiniert, diese können aber den Anforderungen entsprechend (unter den Einstellungen) angepasst und erweitert werden.

verinice 1.25: Erweiterungen im Reporting für das BCM

Abbildung 2. Reporting

Detailänderungen

  • Die Startmeldung wurde aktualisiert.

  • Auf dem Willkommensbildschirm wurde der Einstieg für den BSI IT-Grundschutz nach 100-x entfernt. Die Perspektive ist jedoch nach wie vor vorhanden und kann weiterhin genutzt werden.

  • Der Report Auditreport wurde überarbeitet, sodass nun alle Informationen aus dem Audit ausgegeben werden.

  • Verknüpfungen zwischen Geschäftsprozessen und Räumen sind möglich.

  • Im Link-Maker kann nun, neben Titel, auch nach Identifiere, Übergeordnetes Zielobjekt und Geltungsbereich gesucht und sortiert werden.

  • Importierte Objekte werden nicht mehr nach Alphabet einsortiert, sondern werden immer an erster Stelle gelistet.

  • Anpassungen und Erweiterungen an den Tutorials.

  • Verbesserungen an der Externe Links-View.

Fehlerbehebungen

  • Im Report A.1 Strukturanalyse-Abhängigkeiten werden nun alle verknüpften Elemente ausgegeben.

  • Im Report A.3 Modellierungen wird in der Tabelle "Übersicht: Liste verwendeter Bausteine" die korrekte Anzahl der Bausteine von Kommunikationsverbindungen ausgegeben.

  • Im Report A.4 Grundschutz-Check wird das Umsetzungsdatum (Umsetzung bis) nun auch ausgegeben, wenn nicht aus Maßnahme abgeleitet wird.

  • Im Report Meldeformular BSIG8b IS (ISO und Grundschutz) wurden kleine Unstimmigkeiten bereinigt.

  • Im Report Erklärung zur Anwendbarkeit werden die Elemente nach Abkürzung sortiert.

  • Die Verknüpfungsrichtung kann nachträglich wieder geändert werden.

  • Beheben eines Fehlers beim Kopieren mit Verknüpfungen für viele Elemente.

  • Die Sortierung im Konsolidator ist nun möglich.

  • In der ISM-Perspektive werden die Elemente nach Abkürzung sortiert.

  • Performance-Verbesserungen beim Vererben vom Schutzbedarf und der Baustein-Referenzierung.

  • Insgesamt wurden vier Security-Verbesserungen vorgenommen.

  • Behebung eines Fehlers im v.Designer.

  • Die Vererbung von Icons funktioniert nun einwandfrei.

  • Das Löschen mithilfe von Tastenkombinationen wird für schreibgeschützte Katalog-Elemente unterbunden.

  • Entfernen von HTML-Tags beim Mailversand von Aufgaben.

  • Der VDS_ISA_Audit-Tag wurde für das Elemtent Auditbehandlung entfernt.

  • Ein Lokaler-Admin sieht bei den Accounteinstellungen nur noch die von ihm angelegten Accountgruppen.

  • Anpassung der Zugriffsrechte beim VNA- und CSV-Import

  • Das Modellieren von Bausteinen auf einen schreibgeschützten Informationsverbund wird ab sofort unterbunden.

  • Anpassungen am Konsolidator, sodass schreibgeschützte Informationsverbünde und Elemente nicht mehr verändert werden können.

Sicherheitshinweise

Neue Aktionen

keine

Geänderte Property Dateien

  • veriniceserver/WEB-INF/SNCA.xml

  • veriniceserver/WEB-INF/snca-messages.properties

  • veriniceserver/WEB-INF/snca-messages_de.properties

  • veriniceserver/WEB-INF/veriniceserver-plain.properties

  • veriniceserver/WEB-INF/classes/sernet/gs/server/spring/veriniceserver-common.xml

Datenbankänderungen

  • In der Tabelle ChangeLogEntry werden automatisch Indices auf den Spalten changetime, elementChange und stationid angelegt.

  • Alle benötigten Indices werden automatisch angelegt, wenn sie nicht schon vorhanden sind.

Codename: Jeju Island

Veröffentlichung: Mai 2022

Das verinice.TEAM stellt mit verinice 1.24.1 mehr als 40 neue Funktionen, Detailänderungen und Fehlerbehebungen bereit. Außerdem wird ab dieser Version der Windows-Client signiert ausgeliefert. Erhältlich ist die neue Version im verinice.SHOP bzw. im Kundenrepository

HINWEIS: verinice 1.24.1 ist die aktuellste Version. Nach einem Update auf verinice 1.24 wurden im Client hinter den Namen der Objekte mehrere IDs angezeigt. Diese für das Debugging gedachte Funktion verursachte zwar Unübersichtlichkeit, jedoch keine Fehler in der Anwendung. verinice konnte wie gewohnt genutzt werden und das Problem trat bei Neuinstallation nicht auf – dennoch hat das Team eine neue Version 1.24.1 bereitgestellt.

Der Einsatz von verinice wird auf einem aktuellen MacBook mit einem M1-Prozessor unterstützt.

Zudem erfolgte, aufgrund von Sicherheitslücken in älteren log4j-Versionen, ein Umstieg auf reload4j.

Neue Funktionen

Baustein-Referenzierung

Baustein-ReferenzierungMit der Baustein-Referenzierung ist es möglich, im Informationsverbund bereits modellierte Bausteine für mehrere Zielobjekte gleichzeitig zu nutzen. Dadurch verringert sich sowohl der Aufwand für die Bearbeitung und Pflege der Bausteine, als auch die Anzahl der im Informationsverbund enthaltenen Bausteine. Dabei werden die Zielobjekte, bei denen eine Baustein-Referenzierung vorliegt, optisch hervorgehoben.

Detailänderungen

  • Im Report A.6 Realisierungsplan wird das Umsetzungsdatum (Umsetzung bis) nun auch ausgegeben, wenn keine Person mit dem Verknüpfungstyp "Umsetzung durch" verknüpft ist.

  • Bei der Report-Erzeugung werden die neuen Office-Formate (DOCX und XLSX) unterstützt.

  • Der v.Designer kann mit Java 11 gestartet werden und wird somit wieder in der aktuellen Version 1.24 ausgeliefert.

  • Verbesserung der Option "Aus Maßnahme Ableiten" beim Modellieren von Anforderungen.

  • Aufgaben können per Cron-Job automatisiert erzeugt werden. Diese Funktion ist standardmäßig deaktiviert.

  • Die Verschlüsselungsmethode "Verschlüsseln mit Zertifikat" ist beim Ex- und Import nicht mehr verfügbar.

Fehlerbehebungen

  • Performance-Verbesserungen beim Vererben von Berechtigungen, Kopieren mit Verknüpfungen und in der Account-Gruppen-View.

  • Beheben eines Fehlers beim GSTOOL-Import.

  • Beheben eines Fehlers beim Kopieren mit Verknüpfungen beim Security Assessment.

  • Beheben eines Fehlers beim Start eines Audit Workflow aus dem Kontextmenü einer ISO Control-Gruppe.

  • Zur Unterstützung neuerer Betriebssysteme wurde auf das RCP-Framework 2021-12 (4.22) aktualisiert.

  • Änderungen am Programmfenster nach Auswahl von Verknüpfungen in der Report-Abfrage korrigiert.

  • Katalogelemente werden nun von der Validierung ausgeschlossen.

  • Unstimmigkeiten der Sprache wurden an mehreren Stellen behoben.

  • Entfernung mittlerweile nicht mehr aktueller Tutorials für den Datenschutz.

  • Das Löschen von Aufgaben im Workflow ist nun wieder möglich.

  • Korrektur im Workflow bei der Terminauswahl in einer alten Vorlage.

  • Das Löschen von Verknüpfungen im Katalog wird unterbunden.

  • Das Anlegen von aggregierten Charts im v.Designer wurde korrigiert.

  • Beheben eines Fehlers beim Hinzufügen von Accounts zu Account-Gruppen.

  • Beheben eines Fehlers bei der Nachmodellierung von Gefährdungen.

  • Konkretisierung der nicht verfügbaren Greenbone-/OpenVAS-Anbindung für den Modernisierten IT-Grundschutz an mehreren Stellen.

Sicherheitshinweise

Neue Aktionen

keine

Geänderte Property Dateien

  • veriniceserver/WEB-INF/SNCA.xml

  • veriniceserver/WEB-INF/veriniceserver-plain.properties

  • veriniceserver/WEB-INF/verinice-ldap.properties

  • veriniceserver/WEB-INF/web.xml

Datenbankänderungen

keine

Codename: Great Barrier Island

Veröffentlichung: Oktober & November 2021

Das verinice.TEAM stellt mit verinice 1.23 mehr als 30 neue Funktionen, Detailänderungen und Fehlerbehebungen bereit. Das Update 1.23.1 behebt zusätzlich einen Fehler in der Einzelplatzversion beim Kopieren von Objekten. Einzelplatz-Nutzende sollten verinice 1.23.1 verwenden, auf dem Server werden weiterhin die Pakete 1.23.0 eingesetzt.

Ab Version 1.23 verwendet verinice Java 11. Die mit dem Client ausgelieferte Java Runtime Environment (JRE) von Adoptium (ehemals AdoptOpenJDK) wurde auf die neueste Version aktualisiert.

Achtung: Soll eine vorherige Version auf verinice 1.23.x aktualisiert werden, muss in den verinice-Einstellungen eine Option deaktiviert werden. Bitte beachten Sie dazu die Anleitung am Ende der Release Notes.

Zur Unterstützung neuerer Betriebssysteme wurde auf das RCP-Framework 2021-06 (4.20) aktualisiert. verinice bietet damit insbesondere eine bessere Unterstützung des Betriebssystems macOS Big Sur. Zum Releasedatum kann noch keine Aussage hinsichtlich der Unterstützung der für Ende 2021 angekündigten macOS Version Monterey getroffen werden.

Nutzende der verinice Standalone-Version werden beim Start aufgefordert, die aktualisierte Version zu installieren. Wenn der automatische Update-Mechanismus vom Benutzer deaktiviert wurde, kann das Update manuell über den folgenden Menüpunkt ausgelöst werden: Hilfe -> Auf Updates prüfen

Nutzende des verinice.PRO-Servers sollten die verfügbaren RPM-Pakete aus dem Kundenrepository unter Verwendung des bekannten Update-Verfahrens installieren.

Achtung: Als Administratorin oder Administrator eines verinice.PRO-Servers beachten Sie bitte auch den Sicherheitshinweis am Ende dieser Release Notes!

Details zu verinice 1.23.1

Dieses Update für verinice behebt einen Fehler beim Kopieren von Objekten. In der Einzelplatzversion von verinice 1.22.2 und 1.23 konnte die Funktion "Kopieren mit Verknüpfungen" nicht ausgeführt werden. Das Aufrufen der Funktion ist in der Version 1.23.1 wieder möglich. verinice.PRO war von dem Fehler nicht betroffen. Im Betriebsmodus "Server" lässt sich die Funktion "Kopieren mit Verknüpfungen" auch in älteren Versionen fehlerfrei ausführen. Im Kundenrepository werden daher keine neuen verinice.PRO Pakete für die 1.23.1 veröffentlicht. Auf dem Server können weiterhin die Pakete für 1.23.0 verwendet werden.

Details zu verinice 1.23

  • Doppelte Ausgabe von VDA-ISA-Controls bei in der ISM-Perspektive verknüpften Dokumenten in den Report-Templates Information Security Assessment kompakt/detailliert behoben.

  • Im Report A.4 Grundschutz-Check wird das Umsetzungsdatum (Umsetzung bis) nun auch ausgegeben, wenn keine Person mit dem Verknüpfungstyp "Umsetzung durch" verknüpft ist.

  • Bei Vorliegen einer gültigen Lizenz werden im Webfrontend die unverschlüsselten Control-Texte angezeigt.

  • Die Mailkonfiguration wurde für den für MSA-konformen Mailversand erweitert.

  • Die Einstellungen für StartTLS wurden in die Konfigurationsdatei veriniceserver-plain.propertiesaufgenommen.

Fehlerbehebungen

  • Beheben eines Fehlers beim gleichzeitigen Import mehrerer Scopes.

  • Beheben eines Fehlers beim wiederkehrenden CSV-Import mit aktivierter Option "Lösche Objekte in verinice".

  • Auswählen einer Template-Datei im View Report-Ablage korrigiert.

  • Ausführen der Funktion Integrieren (Entfernen der Source-ID und Ext-ID) auf Objekten gesperrt für Anwendende ohne Schreibrechte.

  • Korrektur der fehlerhaft implementierten Funktion "Alle aufklappen" im Ordner Importierte Objekte.

  • Normalisierung von Strings zur Vermeidung von Problemen mit Sonderzeichen (Combined Diaresis) in verinice (Content, Report-Abfragen und Reports).

  • Abfangen des Fehlers beim Konsolidieren von Bausteinen, wenn Gefährdungen mit gleichem Identifier verknüpft sind.

  • Überflüssigen Tag Risk für die Checkbox "Aus Maßnahme ableiten" bei Anforderungen im modernisierten IT-Grundschutz entfernt.

  • Links im Start-Bildschirm auf macOS können wieder aufgerufen werden.

  • Das Anlegen doppelter Berechtigungen wird jetzt abgefangen.

  • Der Account-View zeigt Änderungen an Objekten nun sofort an (Refresh).

  • Korrektur des Verweises auf den Download des IT-Grundschutz-Kompendiums im Tutorial.

  • Aktualisierung des Tutorials für den Konsolidator im IT-Grundschutz.

  • Fehlende deutsche Übersetzung im Tutorial 3.2 Risikomanagement basierend auf ISO 27005 ergänzt.

  • Zurücksetzen von Perspektiven bei fehlendem View korrigiert.

  • Beheben eines Fehlers, in dessen Folge in einigen Fällen nicht auf das Wurzelobjekt zurück navigiert werden konnte.

Schließen einer Sicherheitslücke

verinice 1.23 enthält auch die mit verinice 1.22.2 ausgelieferte Behebung einer Sicherheitslücke. Anwendern, die dieses Zwischenrelease ausgelassen haben, wird das Update auf verinice 1.23.x bzw. mindestens verinice 1.22.2 dringend empfohlen! Siehe auch die Release Notes zu verinice 1.22.2.

verinice 1.23 behebt in diesem Zusammenhang auch zwei von Anwenderinnen und Anwendern gemeldete Fehler aus verinice 1.22.2 (Folgefehler im Rahmen der Behebung der Sicherheitslücke):

  • Lizenzpflichtige Inhalte werden in der Einzelplatzversion bei Vorliegen einer Lizenz wieder korrekt angezeigt.

  • Der LDAP-Import von Accounts funktioniert in verinice 1.23 wieder.Update

Update-Hinweis

verinice benötigt zum Starten eine Java-Laufzeitumgebung (Java Runtime Environment, JRE). Ab Version 1.23 läuft verinice mit dem JRE 11 und nicht mehr mit dem JRE 8. Vor dem Update auf die Version 1.23.x muss daher in den Einstellungen eine Option deaktiviert werden:

Menü → Bearbeiten → Einstellungen… → Installieren / Aktualisieren

Dort muss das Häkchen entfernt werden bei:

☐ Verify provisioning operation is compatible with currently running JRE

Danach kann wie gewohnt das Update gestartet werden:

Menü → Hilfe → Auf Updates prüfen

Nach dem Update auf die 1.23.x funktioniert der automatische Neustart von verinice nicht. verinice muss nach dem Update beendet und manuell neu gestartet werden.

Sicherheitshinweise

Neue Aktionen

keine

Geänderte Property Dateien

  • veriniceserver/WEB-INF/SNCA.xml

  • veriniceserver/WEB-INF/veriniceserver-plain.properties

Datenbankänderungen

keine

Codename: Essaouira

Veröffentlichung: August 2021

Das verinice.TEAM schließt mit diesem Realease eine Sicherheitslücke. Ein Update auf die neue Version wird aus Sicherheitsgründen dringend empfohlen.

Benutzer des verinice.PRO-Servers sollten die verfügbaren RPM-Pakete aus dem Kundenrepository unter Verwendung des bekannten Update-Verfahrens installieren.

Benutzer der verinice Standalone-Version werden beim Start aufgefordert, die aktualisierte Version zu installieren. Wenn der automatische Update-Mechanismus vom Benutzer deaktiviert wurde, kann das Update manuell über den folgenden Menüpunkt ausgelöst werden: Hilfe -> Auf Updates prüfen

Beschreibung der Sicherheitslücke

Eine Schwachstelle in der Kommunikation zwischen der Client- und der Serverkomponente kann zur Ausführung von beliebigem Code auf dem Server genutzt werden. Voraussetzung für das Ausnutzen der Schwachstelle ist die abgeschlossene Authentifizierung mit einem Account auf dem verinice.PRO Server mit oder ohne Admin-Rechte. Ohne einen solchen Account kann die Schwachstelle nicht genutzt werden.

  • CVE-2021-36981
  • Betroffene Versionen: Alle Versionen von verinice und verinice.PRO vor 1.22.2

verinice verwendet Java-Serialisierung für die Kommunikation zwischen Client- und Server-Komponenten. Frank Nusko von der Secianus GmbH hat herausgefunden, dass der verwendete Mechanismus und das Framework anfällig für Exploits sind, die zur Ausführung von beliebigem Code auf der Serverkomponente verwendet werden können.

Da die Serverkomponente auch im Standalone-Modus von verinice verwendet wird, könnte die Schwachstelle theoretisch auch für einen Angriff auf den Standalone-Client verwendet werden. Beim Angriff können beliebige Befehle auf dem demselben Rechner ausgeführt werden, allerdings mit den Rechten und dem Kontext des verinice-Clients. Diese zweite Angriffsvariante wurde von uns nicht verifiziert, als Vorsichtsmaßnahme empfehlen wir trotzdem allen Benutzer*innen des Standalone-Clients, den verfügbaren Patch ebenfalls zu installieren.

Die Schwachstelle kann ausgenutzt werden, um Zugriff auf das zugrunde liegende Betriebssystem zu erlangen, Dateien zu verändern, zu löschen und Informationen zu auszulesen, einschließlich aller Daten in der verinice-Datenbank.

Eine detaillierte Beschreibung der Sicherheitslücke finden sie hier: https://verinice.com/support/sicherheitshinweise.

Geänderte Property Dateien

Keine

Datenbankänderungen

Keine

Codename: Essaouira

Veröffentlichung: März 2021

Siehe Hinweise am Textende zu den Unterschieden zwischen Versionen 1.22 und 1.22.1.

Wichtiger Bestandteil der neuen Version ist u.a. das IT-Grundschutz-Kompendium 2021. Das IT-Grundschutz-Kompendium 2021 wird direkt mit verinice 1.22.1 ausgeliefert. Für Nutzer*innen der Edition 2020 ist ein automatisches Update auf die Edition 2021 möglich. Fehler in der Änderungsdokumentation des BSI zur Edition 2021 des IT-Grundschutz-Kompendiums sind korrigiert, hier hatten sich einige Abweichungen eingeschlichen (Übersicht dazu im verinice.FORUM).

Das IT-Grundschutz-Kompendium 2021 für verinice ist auch über den verinice.SHOP verfügbar. Es ergänzt damit die bereits verfügbaren Zusatz-Module, die mit verinice genutzt werden können.

Außerdem sind in verinice 1.22.1 die folgende Neuerungen enthalten:

  • VDA ISA / TISAX Version 4 und 5 (Kataloge und Report-Templates)

  • Meldeformular BSIG 8b für Sicherheitsvorfälle in der ISO-/ITGS-Perspektive

  • Korrektur des Verknüpfungs-View unter macOS BigSur

  • Beschleunigung des VNA-Exports bei Verbünden mit >20.000 Elementen

  • Zahlreiche Detailverbesserungen und Bugfixes

Die wichtigsten Neuerungen werden im Folgenden im Detail dargestellt.

Achtung  Als Administrator*in eines verinice.PRO-Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes.

Neue Funktionen

IT-Grundschutz-Kompendium 9 Edition 2021

verinice 1.22.1 wird mit dem IT-Grundschutz-Kompendium 9 Edition 2021 ausgeliefert und unterstützt die bereits mit verinice 1.20 eingeführte Update-Funktionalität. Anwender*innen der Edition 2020 des IT-Grundschutz-Kompendiums können durch Neumodellierung mit den Bausteinen der Edition 2021 die bereits dokumentierte Umsetzung beibehalten und alle Änderungen und Neuerungen effektiv nachpflegen.

Die Edition 2021 des IT-Grundschutz-Kompendiums enthält ein Vielzahl an Änderungen und Neuerungen, allen Anwender*innen wird empfohlen, unbedingt die Begleitdokumentation zum Kompendium zu beachten.

Meldeformular für Sicherheitsvorfälle

Das Zielobjekt Incident/Vorfall wurde sowohl für die ISM-Perspektive als auch die Perspektive des mondernisierten IT-Grundschutzes aktualisiert und bildet nun Sicherheitsvorfälle ab. Neben den für das Meldeformular nach § 8b Absatz 4 BSIG notwendigen Inhalten sind auch datenschutzrelevante Inhalte enthalten.

Die Meldeformulare für Datenschutzvorfälle werden parallel als Update der jeweiligen Datenschutzmodule bereitgestellt.

VDA Information Security Assessment

Screenshot zu VDA ISA in verinice 1.22

Abbildung 1: VDA ISA 5 Report

Zur Abbildung des Self Assessments nach VDA ISA / TISAX werden mit verinice 1.22.1 sowohl die aktuell gültige Version 5 (voreingestellt) als auch die Vorgängerversion 4 inklusive der jeweils passenden Report-Templates ausgeliefert.

Detailverbesserungen

  • Der Export von Informationsverbünden mit mehr als 20.000 Objekten ist durch Optimierung des Caching erheblich beschleunigt.

  • Erweiterung der Rollen gemäß des IT-Grundschutz-Kompendiums der Edition 2021.

Fehlerbehebungen

  • Behebung eines Fehlers bei der Verknüpfung von Anforderungen mit einem Informationsverbund im Link-Maker.

  • Behebung der fehlerhaften Erzeugung von .VNAs (Zip-Dateien konnten nicht geöffnet werden).

  • Fehler beim Import Scope-übergreifender Verknüpfung behoben, wenn nicht beide verknüpften Objekete in der importierten .VNA enthalten sind.

  • Korrektur der Anzeige von Verknüpfungen unter macOS Big Sur.

  • Korrektur des Download-Links für das IT-Grundschutz-Kompendium im Spickzettel.

  • Behebung von Inkonsistenzen bei Anzeige und Speicherung von Objekten im Web-Frontend (Aufgaben-Workflow) mit und ohne aktiviertem Freigabeprozess.

  • Anzeige/Ausgabe von bestimmten Sonderzeichen(Combined diaresis) in Reports korrigiert.

  • Korrektur der Stufe Normal in der Tabelle Definition der Schutzbedarfskategorien in der Zeile Innen-/Außenwirkung im Report A.5 Risikoanalyse. Es wurde fälschlicherweise der Wert der Stufe Unkritisch ausgegeben.

Sicherheitshinweise

Neue Aktionen

Keine

Geänderte Property Dateien

  • veriniceserver/WEB-INF/SNCA.xml, snca-messages.properties, snca-messages_de.properties, snca-messages_cs.properties

Datenbankänderungen

Keine

Update von 1.22 auf 1.22.1

Anwendung verinice 1.22.1

Das verinice.TEAM behebt mit verinice 1.22.1 einen Fehler beim Update eines modellierten Informationsverbundes auf die Edition 2021 des IT-Grundschutz-Kompendiums. Fälschlicherweise wurden Änderungen aus der vorherigen Edition 2020 beim Nachmodellieren nicht gelöscht sondern als "neue" Änderungen aus der Edition 2021 beibehalten. Ausführlich ist das Problem in diesem Beitrag im Forum beschrieben: https://forum.verinice.com/t/kompendiums-update-von-8-0-und-8-1-auf-9/1337.

Das Problem kann in verinice 1.22.1 durch eine erneute Nachmodellierung mit der parallel veröffentlichten neuen Version 9.1 des IT-Grundschutz-Kompendiums der Edition 2021 einfach korrigiert werden. 

Hinweis: Für jedes Update (Nachmodellierung) von einer Edition des IT-Grundschutz-Kompendiums zu einer neueren muss mindestens verinice 1.22.1 verwendet werden!

IT-Grundschutz-Kompendium 9.1 Edition 2021

Das verinice.TEAM stellt mit dem IT-Grundschutz-Kompendium 9.1 Edition 2021 eine neue Version des IT-Grundschutz-Kompendiums zur Korrektur des mit verinice 1.22.1 behobenen Fehlers beim Update des IT-Grundschutz-Kompendiums bereit. Die neue Version ersetzt die bisherige inhaltsgleich, ermöglicht aber durch das neuere Release Tag [2021-1] die Korrektur durch einfache Nachmodellierung. Anwender*innen, die einen Informationsverbund ohne Update aus einer vorherigen Edition mit der Vorgängerversion IT-Grundschutz-Kompendium 9 Edition 2021 modelliert haben, können diese weiter verwenden. Eind Update von Version 9 auf Version 9.1 ist nicht erforderlich.

Hinweis: Für jedes Update (Nachmodellierung) von einer Edition des IT-Grundschutz-Kompendiums zu einer neueren muss mindestens verinice 1.22.1 verwendet werden!

Codename: Sumba
Veröffentlichung: November 2020

Das verinice.TEAM stellt mit verinice 1.21 mehr als 50 neue Funktionen, Detailänderungen und Fehlerbehebungen bereit. Die wichtigsten Neuerungen werden im Folgenden im Detail dargestellt – außerdem stehen einige erklärende Videos bereit: Playlist Vorstellung verinice 1.21 (Link füht direkt zu YouTube).

ACHTUNG: Als Administrator eines verinice.PRO-Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes!

Neue Funktionen

Baustein-Konsolidator

verinice 1.21: Datenauswahl im Konsolidator

Abbildung 1: Datenauswahl im Konsolidator

Der Baustein-Konsolidator für den Modernisierten IT-Grundschutz vereinfacht die Bearbeitung gleicher Bauteine erheblich. Frei wählbare Parameter eines Bausteins, der Anforderungen sowie der verknüpften Gefährdungen und Maßnahmen können schnell auf ausgewählte Bausteine mit dem gleichen Identifier übertragen werden.

verinice 1.21: Bausteinauswahl Konsolidator

Abbildung 2: Bausteinauswahl Konsolidator

In der anschließenden Übersicht, die wahlweise den aktuellen Scope oder alle Scopes berücksichtigt, stehen alle gefundenen Bausteine mit den dazugehörigen Zielobjekten und Scopes zum Konsolidieren zur Auswahl.

Video: https://youtu.be/mM7Dukl8CpI

Meldeformular für Sicherheitsvorfälle

Das Zielobjekt Incident/Vorfall wurde aktualisiert und bildet nun Sicherheitsvorfälle ab. Neben den für das Meldeformular nach § 8b Absatz 4 BSIG notwendigen Inhalten sind auch Datenschutzrelevante Inhalte enthalten. Die zugehörigen Report-Templates werden in Kürze zum Download bereitgestellt.

verinice 1.21: Meldeformular für Sicherheitsvorfälle

Abbildung 3: Meldeformular für Sicherheitsvorfälle

Video: https://youtu.be/A6hbaCe15cs

VDA ISA / TISAX 5.0.2

Zur Abbildung des Self Assessments nach VDA ISA / TISAX ist die neue Version 5.0.2 integriert. Das zugehörige Report-Template wird in Kürze separat zum Download bereitgestellt.

Video: https://youtu.be/XI4Gu-_yy_I

Kontext für Report-Templates

Der Dialog für die Reporterzeugung wurde grundlegend überarbeitet. Report-Templates werden jetzt kontextbezogen für die jeweilige Perspektive des ausgewählten Geltungsbereichs angezeigt, was die Übersichtlichkeit erhöht und die Auswahl unpassender Report-Templates unterbindet. Der Kontext kann je Report-Template z.B. auch für kundenspezifische Report-Templates separat definiert werden. Selbst Report-Templates, die über verschiedene Perspektiven laufen sollen, können so verwirklicht werden.

verinice 1.21: Kontext für Report-Templates

Abbildung 4: Kontext für Report-Templates

Verbundübergreifende Report-Erzeugung

Neu in verinice ist die Möglichkeit, Report-Templates über mehrere Verbünde auszuführen. Nach Auswahl mehrerer Verbünde im Modell-View (Tree) kann über das Kontextmenü (rechter Mausklick) ein entsprechend vorbereitetes Report-Template ausgeführt werden.

verinice 1.21: Verbundübergreifende Report-Erzeugung

Abbildung 5: Verbundübergreifende Report-Erzeugung

Hinweis: Die Standard Report-Templates in verinice sind nicht für die Verbundübergreifende Report-Erzeugung konzipiert! Anwenderinnen und Anwender können entsprechende Reports aber mit dem v.Designer selber erstellen oder die Vorlagen entsprechend anpassen.

Übergeordnete Objekte im Link-Maker

Im Link-Maker werden neben dem Geltungsbereich zur bessere Zuordnung jetzt auch die übergeordneten Objekte angezeigt, was die Erstellung von Verknüpfungen deutlich vereinfacht.

veriniec 1.21: Übergeordnete Objekte im Link-Maker

Abbildung 6: Übergeordnete Objekte im Link-Maker

Erweiterung des Zielobjektes Dokument

Das Zielobjekt Dokument wurde sowohl in der ISM- als auch in der Perspektive des modernisierten IT-Grundschutz überarbeitet und um wichtige Inhalte erweitert.

verinice 1.21: Zielobjekt Dokument

Abbildung 7: Zielobjekt Dokument

Neben Dokumententyp und Einstufung können nun auch Beschreibung, Version, Dokumentenstatus, Datum der Genehmigung und Revision dokumentiert werden.

Video: https://youtu.be/1xqXQgsuKxw

BSI IT-Grundschutz-Profiler

Der IT-Grundschutz-Profiler in verinice ermöglicht die Erstellung neuer IT-Grundschutz-Profile. Diese Option macht verinice interessant für Branchenverbände, die eigene IT-Grundschutz-Profile erstellen, indem diese nahtlos beim BSI zur Freigabe eingereicht werden können. Auch die mindestens einmal jährlich mit Release eines neuen IT-Grundschutz-Kompendiums durch das BSI erforderliche Pflege und Aktualisierung der Profile wird durch die Update-Funktionalität für das IT-Grundschutz-Kompendium signifikant vereinfacht.

verinice 1.21: IT-Grundschutz-Profiler

Abbildung 8: IT-Grundschutz-Profiler

Video: https://youtu.be/gsZLUsobFZQ

Detailverbesserungen

  • Performance Verbesserungen beim VNA Im- und Export und bei den Accounteinstellungen.

  • Anpassung im Datenschutz (Verzeichnis der Verarbeitungstätigkeiten) wurden vorgenommen.

  • Kataloge werden vom VNA-Export und der Reporterzeugung ausgeschlossen.

  • Erweiterung der Risikokategorie im modernisierten BSI IT-Grundschutz.

  • Anpassung des Datum-Feldes im Editor.

  • Verknüpfungen zwischen Anforderung und Anforderung hinzugefügt.

  • Bei den ISO-Aufgaben wird nun auch im Webfrontend der Objektbrowser mit Inhalten angezeigt.

Fehlerbehebungen

  • Die Sortierung der Assets im Bericht Risikobeurteilung wurde angepasst.

  • Report-Templates können in der Report-Ablage (Server-Modus) geändert und wieder gespeichert werden.

  • Report-Templates (u.a. A.3, A.4 und A.6) wurden überarbeitet.

  • Verknüpfungen zwischen einem Verbund und einem Katalog sind nicht mehr möglich.

  • Kataloge werden nun standardmäßig auch für Scope-Only Accounts angezeigt.

  • Account Berechtigungen für den Lokalen Admin wurden angepasst.

  • Verbünde mit einem Account können gelöscht werden.

  • Um beim CSV-Import das Mapping zu erleichtern, wurden die Attribute erweitert.

  • Der Objektbrowser wird korrekt aktualisiert und zeigt unter Windows auch das verinice Logo an.

  • Unstimmigkeiten bei Icons und der Sprache des Kontextmenüs wurden behoben.

  • Sicherheitslücken beim Anhängen von Dateien wurden behoben.

  • Unstimmigkeiten in der Risikoberechnung nach ISO 27005 wurden behoben.

  • Automatischer verinice Update ist ab Version 1.21 wieder möglich.

Abkündigung der verinice.PRO-Pakete für RHEL 6 und CentOS 6

Am 30.11.2020 endet der Support für Red Hat Enterprise Linux (RHEL) 6 und CentOS 6. Aus diesem Grund werden verinice.PRO-Pakete von verinice 1.21 nur noch für RHEL 7 und CentOS 7 bereitgestellt! verinice.PRO-Server auf denen noch RHEL 6 oder CentOS 6 läuft, müssen auf die Nachfolgeversion aktualisiert werden.

Sicherheitshinweise

Neue Aktionen

  • consolidator_modbp: BSIMOD/F/Konsolidator (Modernisierter Grundschutz)

Geänderte Property Dateien

HINWEIS: In der Datei veriniceserver-common.xml kann die Anzahl der Threads beim Export nicht mehr konfiguriert werden!

  • veriniceserver/WEB-INF/SNCA.xml, snca-messages.properties, snca-messages_de.properties, snca-messages_cs.properties

  • veriniceserver/WEB-INF/verinice-auth-default.xml, verinice-auth-standalone-default.xml, verinice-auth-messages[_cs|de].properties:

    • Die Action-ID simpleauditview wurde entfernt.

    • Die Action-ID consolidator_modbp wurde hinzugefügt.

  • veriniceserver/WEB-INF/veriniceserver-osgi.properties:

    • Die Property jdbc.ds.pool.maxPoolSize wurde auf 15 erhöht.

Datenbankänderungen

Keine

Codename: Unstad
Veröffentlichung: 14. April 2020

Das verinice.TEAM stellt mit verinice 1.20 mehr als 50 neue Funktionen, Detailänderungen und Fehlerbehebungen bereit. Eine Übersicht zu den wichtigsten Neuerungen und Änderungen bietet eine dreiteilige Video-Reihe (Link führt zu YouTube).

Anwenderinnen und Anwender erhalten mit verinice 1.20 Unterstützung bei essenziellen Aufgaben im modernisierten IT-Grundschutz:

  • Die jährlich mit Erscheinen eines neuen IT-Grundschutz-Kompendiums seitens des BSI erforderliche Aktualisierung modellierter Informationsverbünde wird durch eine geführte Update-Funktionalität (Neumodellierung) signifikant vereinfacht.

  • Die Durchführung der Risikoanalyse nach BSI-Standard 200-3 wird durch Visualisierung ausstehender Risikoanalysen sowie hoher oder sehr hoher Risiken mit Handlungsbedarf effektiv unterstützt.

  • IT-Grundschutz-Audits können durchgeführt, dokumentiert und per Report-Template ausgegeben werden.

Die wichtigsten Neuerungen werden im Folgenden im Detail dargestellt.

Achtung: Als Administrator eines verinice.PRO-Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes!

Neue Funktionen

Updatefunktion für das IT-Grundschutz-Kompendium

Das bereits im Februar veröffentlichte IT-Grundschutz-Kompendium Edition 2020 wie auch die Edition 2019 wurden gegenüber der jeweiligen Vorgängeredition erweitert um die Änderungshinweise des BSI (inklusive Errata vom 05.02.2020 für die Edition 2020). Beide Editionen können über den verinice-Shop oder aus dem Kundenrepository bezogen werden.

In verinice 1.20 werden bei Verwendung einer der beiden oben genannten Versionen des IT-Grundschutz-Kompendiums alle Änderungen durch Angabe des Releases der Edition, des Änderungstyps (neu, geändert, umsortiert, entfallen) und der Änderungsdetails dargestellt in:

  • Anforderungen und Bausteinen (Anforderungsgruppen)

  • Maßnahmen und Maßnahmengruppen

  • Gefährdungen und Gefährdungsgruppen

Figure 1. Änderungshinweise IT-Grundschutz-Kompendium

Figure 1. Änderungshinweise IT-Grundschutz-Kompendium

Durch wiederholte Modellierung mit einer neueren Edition des IT-Grundschutz-Kompendiums aktualisieren Sie so existierende Informationsverbünde komfortabel und können die Änderungen prüfen und falls erforderlich nacharbeiten.

Figure 2. Filteroptionen für Änderungen

Figure 2. Filteroptionen für Änderungen

Dabei unterstützt Sie der in verinice 1.20 erweiterte Filter im Modell-View, indem sie Informationsverbünde nach allen Änderungen durchsuchen können.

Visualisierung des Baustein-Umsetzungsstatus

Figure 3. Visualisierung des Baustein-Umsetzungsstatus

Figure 3. Visualisierung des Baustein-Umsetzungsstatus

Für Bausteine und Maßnahmengruppen wird der Umsetzungsstatus aller zugehörigen Anforderungen bzw. Maßnahmen nun visuell im Tree dargestellt, so dass Sie den Erfüllungsgrad der Art der Vorgehensweise auf einen Blick erkennen. Die Anzeige ist in den Einstellungen aktivierbar.

Visualisierung des Risikostatus

Figure 4. Visualisierung des Risikostatus

Figure 4. Visualisierung des Risikostatus

Die Durchführung der Risikoanlyse wird durch Visualisierung vereinfacht. Sie erkennen auf einen Blick für welche Zielobjekte eine Risikoanlyse durchzuführen ist, wo welche Risiken in welcher Kategorie vorliegen und ggfs. noch zu behandeln sind.

Figure 5. Filtern nach Risiken

Figure 5. Filtern nach Risiken

Die Visualisierung wird optimal ergänzt durch den erweiterten Filter im View Modernisierter IT-Grundschutz. Anwenderinnen und Anwender erkennen auf einen Blick, für welche Zielobjekte noch eine Risikoanalyse durchzuführen ist und wo z.B. hohe oder sehr hohe Risiken vorliegen.

Auditunterstützung im modernisierten IT-Grundschutz

Figure 6. Audits im modernisierten IT-Grundschutz

Figure 6. Audits im modernisierten IT-Grundschutz

verinice 1.20 ermöglicht nun die bessere Abbildung von Audits im modernisierten IT-Grundschutz. Dokumentieren sie Audithandlungen im neuen Abschnitt Audit und geben Sie diese im Audit-Report aus.

Grundsätzliche/weitere Zuständigkeit

Figure 7. Grundsätzliche/weitere Zuständigkeit

Figure 7. Grundsätzliche/weitere Zuständigkeit

Für Anforderungen und Anforderungsgruppen (Bausteine) sowie Maßnahmen und Maßnahmegruppen wurden zwei neue Verknüpfungstypen Grundsätzlich zuständig und Weitere Zuständigkeit eingeführt, die seitens des BSI anstelle der Rollen Hauptverantwortlicher bzw. Verantwortlicher definiert wurden. verinice 1.20 liest insbesondere auch in den entsprechenden Reportvorlagen (A.3 Modellierung und A.4 Grundschutz-Check) beide Verknüpfungstypen aus, so dass Anwenderinnen und Anwender diese synonym verwenden bzw. sukzessive austauschen können.

Kontext für Report-Templates

Figure 8. Kontext für Report-Templates

Figure 8. Kontext für Report-Templates

Sämtliche Report-Vorlagen wurden um einen Kontext erweitert um die Übersicht im Dialog Report erzeugen zu verbessern. Die Einführung des Kontextes ist zudem vorbereitend für die zukünftig geplante Erweiterung, Reports Scope-übergreifend zu erzeugen.

Detailänderungen

  • Der Abschnitt Umsetzung in Anforderungen und Maßnahmen im moderniserten IT-Grundschutz wurde erweitert um die Eigenschaft Umsetzung bis.

  • Die Report-Templates der betroffenen Referenzdokumente ITGS: A.4 IT-Grundschutz-Check und ITGS: A.6 Realisierungsplan wurden entsprechend angepasst.

  • Die Standard-Perspektive beim ersten Login ist nun der Modernisierte IT-Grundschutz (vorher IT-Grundschutz alt).

  • Die Revision von Anforderungen und Maßnahmen kann nun direkt in Anforderungen und Maßnahmen dokumentiert werden und muss nicht mehr im Beschreibungsfeld zur verknüpften Person erfolgen.

  • Im Report-Template ITGS: A.2 Schutzbedarfsfeststellung wurde ein Fehler bei der Definition der Schutzbedarfskategorie korrigiert.

  • In den Report-Templates Risikobeurteilung und Risikobehandlung für die ISM-Perspektive und das Datenschutzmodul 3 für die ISM-Perspektive wurde eine Inkonsistenz der Berechnung zwischen der Risiko-Matrix und den Säulendiagrammen korrigiert.

  • Die veralteten Report-Templates VV-BSIG wurden entfernt und werden in einer der folgenden Versionen aktualisiert.

  • Die ausgelieferten RPM-Pakete sind jetzt per GPG-Schlüssel signiert.

  • Das Objekt Person im modernisierten IT-Grundschutz wurde für den Datenschutz um Allgemeine Angaben DSB erweitert.

Fehlerbehebungen

  • Lokale Administratoren können nur noch die Accounts bearbeiten, auf die sie schreibberechtigt sind.

  • Inaktivierung der Schaltfläche Speichern im View Report Repository korrigiert.

  • Import von schadhaften (malicious) VNA-Files unterbunden.

  • Fehlende Anzeige von Informationsverbünden und Accounts des modernisierten IT-Grundschutz im View Aufgaben behoben.

  • Fehler bei der Anzeige von Feldern im Web-Frontend behoben, wenn per Customizong ein neues Datums-Feld angelegt wurde.

  • Verknüpfungen, die mittels Rest-API erzeugt werden, werden nun direkt im Client dargestellt.

  • Die Ableitung des Umsetzungsstatus von Maßnahme auf Anforderung im modernisierten IT-Grundschutz wurde korrigiert für den Fall, dass die letzte verknüpfte Maßnahmen gelöscht wurde.

Ab 2020 keine verinice.PRO-Pakete mehr für RHEL 6 und CentOS 6

Am 30.11.2020 endet der Support für Red Hat Enterprise Linux (RHEL) 6 und CentOS 6. Aus diesem Grund werden verinice.PRO-Pakete für diese Betriebsystemversionen nur noch für verinice 1.19 und 1.20 bereitgestellt. Für alle Versionen, die danach veröffentlicht werden, wird es nur noch Pakete für RHEL 7 und CentOS 7 geben. verinice 1.19 und 1.20 werden die letzten Versionen sein, die für RHEL 6 und CentOS 6 verfügbar sind.

Wir empfehlen schon jetzt ein Upgrade Ihres verinice.PRO Servers auf RHEL 7 und CentOS 7, wenn Sie noch die Version 6 einsetzen.

Sicherheitshinweise

Neue Aktionen

Keine

Geänderte Property Dateien

Client

Der Java Keystore des verinice Clients wurde verschoben. Bis zur Version verinice-1.19.1 befindet sich der Keystore in dieser Datei:

<VERINICE>/jre/lib/security/cacerts

Der neue Dateipfad ab verinice-1.20 lautet:

  • Windows: <VERINICE>/plugins/sernet.verinice.extraresources.jre_win_64_1.20.0.507d45a/jre/lib/security/cacerts
  • Mac: <VERINICE>/plugins/sernet.verinice.extraresources.jre_mac_64_1.20.0.507d45a/jre/Contents/Home/lib/security/cacerts
  • Linux: <VERINICE>/plugins/sernet.verinice.extraresources.jre_linux_64_1.20.0.507d45a/jre/lib/security/cacerts

Bitte beachten Sie, dass sich die Versionsnummer (1.20.0.507d45a) in dem Dateipfad mit zukünftigen verinice Versionen ändern wird. 

Server

  • veriniceserver/WEB-INF/SNCA.xml, snca-messages.properties, snca-messages_de.properties, snca-messages_cs.properties (diverse Änderungen)
  • veriniceserver/WEB-INF/web.xml (Healthcheck hinzugefügt)
  • veriniceserver/WEB-INF/veriniceserver-plain.properties und veriniceserver-plain.properties.local (Datenbankeinstellungen hinzugefügt)

Bitte beachten Sie die Hinweise zum Update von verinice.PRO.

Datenbankänderungen

Keine

Codename: Kuta
Veröffentlichung: 5. Dezember 2019

Dieses Update für verinice und verinice.PRO behebt einen Fehler im VNA-Export. Manche Datenmodelle ließen sich nicht oder nicht vollständig exportieren. Das Update auf verinice 1.19.1 wird allen Kundinnen und Kunden empfohlen, bei denen Probleme beim Export von Informationsverbünden des modernisierten IT-Grundschutz auftreten.

Bitte beachten Sie für alle weiteren Informationen die ausführlichen Release Notes der Version 1.19.

Codename: Kuta
Veröffentlichung: 11. November 2019

ACHTUNG: Als Administrator eines verinice.PRO-Servers beachten Sie außerdem bitte den Sicherheitshinweis am Ende dieser Release Notes!

verinice 1.19 bringt eine Vielzahl neuer Anwendungslösungen mit sich:

VDA ISA 4.1.1

verinice unterstützt mit der Version 1.19 den VDA ISA Katalog in der Version 4.1.1 für TISAX in deutscher und englischer Sprache. AnwenderInnen können in der VDA-Perspektive Information Security Assessments inklusive der Zusatzmodule Prototypen, Anbindung Dritter und Datenschutz durchführen.

Datenschutzmodul

Das neue Datenschutzmodul 3

Das Datenschutzmodul in der Version 3 unterstützt AnwenderInnen bei der Umsetzung der DS-GVO jetzt zusätzlich bei der Datenschutzfolgenabschätzung (DSFA) und der Datenschutz-Risikoanalyse. Für die Risikoanalyse wurde das Datenschutzmodul um datenschutzrelevante Risikoszenarien erweitert.

Zur besseren Orientierung sind die Gesetzestexte der DS-GVO, die Erwägungsgründe und die Gesetztestextes des BDSG (neu) enthalten und entsprechend der Abhängigkeiten miteinander verknüpft.

Ein DS-GVO Kurzcheck ermöglicht die schnelle initiale Bewertung des aktuellen datenschutzrechtlichen Standes von Organisationen und Behörden in Bezug auf die DS-GVO.

Das Datenschutzmodul 3 steht mit verinice 1.19 nun auch in einer Version zum Einsatz in der Perspektive des modernisierten IT-Grundschutz zur Verfügung. AnwenderInnen können so direkt die Baustein-Anforderungen des BSI IT-Grundschutz als TOMs verwenden und die den Synergieeffekt durch die Schnittstelle zur Informationssicherheit ausnutzen.

AnwenderInnen können die in verinice bereits auf Basis des Datenschutzmodul 2 erstellten Verzeichnisse der Verarbeitungstätigkeiten und die Dokumentation der Auftragsverabeitungen einfach um die neuen Funktionen erweitern. Eine detailierte Beschreibung zur Vorgehensweise liegt dem Datenschutzmodul 3 bei.

Nutzung des Datenschutzmoduls 2 unter verinice 1.19

Möchten Sie verinice in der aktuellen Version 1.19 nutzen, wollen aber noch nicht auf das Datenschutzmodul 3 wechseln, müssen Sie für die Erstellung von Reports aus dem bisherigen Datenschutzmodul leider eine Datei austauschen. Folgendes ist zu tun:

  1. Bitte laden Sie das Datenschutzmodul 2 erneut aus dem Downloadbereich Ihres verinice.SHOP-Kundenkontos herunter (https://shop.verinice.com/de/account/downloads).
     
  2. Entpacken Sie die heruntergeladene Zip-Datei. Die neue Version des Datenschutzmodul 2 finden Sie im Unterordner "ab verinice 1.19". Gehen Sie dort in den Unterordner "Reports" und dann in "Verzeichnis_von_Verarbeitungstätigkeiten_DS-GVO". Hier finden Sie die Datei "Verzeichnis_von_Verarbeitungstätigkeiten_DS-GVO.rptdesign".
     
  3. Im Ordner für die Report-Templates muss die ältere Version der Datei "Verzeichnis_von_Verarbeitungstätigkeiten_DS-GVO.rptdesign" durch die neue Version ersetzt werden. Welcher Ordner für die Report-Templates in verinice konfiguriert ist, finden Sie in den Einstellungen: Menu -> Bearbeiten -> Einstellungen... -> Reports -> Report-Templates. In den Standardwerten ist der Ordner für die Report-Templates <BENUTZER-HOME>/verinice/report_templates_local.

IT-Grundschutz-Profile

verinice unterstützt Anwender*innen des modernisierten IT-Grundschutz optimal bei Erstellung und Einsatz der BSI IT-Grundschutz-Profile.

Alle lizenrechtlich freigegebenen und vom BSI veröffentlichten IT-Grundschutz-Profile können zum Import in verinice aus dem verinice.SHOP heruntergeladen werden.

Im verinice.FORUM können AnwenderInnen sich zudem über alle Aspekte rund um den Einsatz oder die Erstellung von IT-Grundschutz-Profilen und branchenspezifischen Sicherheitsstandards (B3S) nach § 8a BSIG austauschen.

Detailverbesserungen und Bugfixes

Das verinice.TEAM veröffentlicht mit verinice 1.19 eine in vielen Punkten hinsichtlich Stabilität und Performance optimierte Version.

Über 50 Bugfixes und Detailverbesserungen optimieren insbesondere die Bereiche:

  • Performance
  • LDAP-Import
  • Aufgaben-Workflow
  • Report-Abfragen und Reporting

Ab 2020 keine verinice.PRO-Pakete mehr für RHEL 6 und CentOS 6

Am 30.11.2020 endet der Support für Red Hat Enterprise Linux (RHEL) 6 und CentOS 6. Aus diesem Grund werden verinice.PRO-Pakete für diese Betriebsystemversionen nur noch für verinice 1.19 und 1.20 bereitgestellt. Für alle Versionen, die danach veröffentlicht werden, wird es nur noch Pakete für RHEL 7 und CentOS 7 geben. verinice 1.19 und 1.20 werden die letzten Versionen sein, die für RHEL 6 und CentOS 6 verfügbar sind.

Wir empfehlen schon jetzt ein Upgrade Ihres verinice.PRO Servers auf RHEL 7 und CentOS 7, wenn Sie noch die Version 6 einsetzen.

Sicherheitshinweise

Neue Aktionen

  • keine

Geänderte Property Dateien

  • veriniceserver/WEB-INF/SNCA.xml, snca-messages.properties, snca-messages_de.properties, snca-messages_cs.properties - New relation "rel_bp_itnetwork_bp_person_dps" (Data privacy officer).
  • veriniceserver/WEB-INF/verinice-auth-default.xml, verinice-auth-standalone-default.xml, verinice-auth-messages[_cs|de].properties - Die Dateien wurden formatiert und sortiert.

Codename: Mangalore

Veröffentlichung: Juli 2019

Risikoanalyse nach BSI-Standard 200-3

Das verinice.TEAM vereinfacht in verinice 1.18.1 die Risikoanalyse nach BSI-Standard 200-3 erneut. Risikobewertung und Risikobehandlung werden nun nicht mehr in den einzelnen Anforderungen bzw. Maßnahmen sondern direkt in der jeweiligen Gefährdung dokumentiert:

Anwenderinnen und Anwender können nun direkt in der Gefährdung das Risiko ohne sowie mit zusätzlichen Maßnahmen vor und nach ggfs. erforderlicher Risikobehandlung für ein Maßnahmenpaket bewerten und dokumentieren.

Der Wegfall der bisher separat je Maßnahme/Anforderung zu dokumentierenden Maßnahmenstärke und deren Berechnung in den Gefährdungen reduziert den Aufwand erheblich. In Ergänzung mit weiteren Bugfixes und Detailverbesserungen steigert die neue Vorgehensweise die Performance deutlich.

Reporting

Das verinice.TEAM veröffentlicht die in den letzten Wochen bereits im verinice.FORUM zur Diskussion gestellten Beta-Versionen der Referenzdokumente für den modernisierten IT-Grundschutz und bedankt sich ausdrücklich bei allen Testerinnen für das konstruktive Feedback. Released werden die neuen bzw. überarbeiteten ausschließlich auf der neuen LTR-Technologie basierenden Reporttemplates:

  • A.1 Strukturanalyse
  • A.1 Strukturanalyse mit Abhängigkeiten
  • A.2 Schutzbedarfsfeststellung
  • A.3 Modellierung
  • A.4 IT-Grundschutz-Check
  • A.5 Risikoanalyse
  • A.6 Realisierungsplan

Die Reporttemplates für die Security Assessments nach VDA ISA / TISAX 4.1.0 können nun inklusive der Spinnennetz-Diagramme mit SVG-Unterstützung erzeugt werden.

Die Reporttemplates Risikomanagement und Risikobehandlung für die ISO/ISM-Perspektive profitieren mit verinice 1.18.1 am deutlichsten von der Erzeugung per LTR-Graphentechnologie - Kundentests versprechen eine erheblich schnellere Erzeugung der Reports.

Alle Reporttemplates werden zudem sukzessive internationalisiert, jede Reporttemplate Datei liegt nur noch einmal vor, die Bereitstellung zusätzlicher Sprachversionen erfolgt durch einfaches Hinzufügen einer Übersetzungsdatei.

Ein kleines aber hilfreiches Feature ist die Option Reports nach Erzeugung direkt aus dem Bestätigungsdialog heraus zu öffnen, das Suchen über den Dateimanager entfällt.

Auch die Reportabfragen selbst wurden durch Caching und weitere Verbesserungen optimiert. Insbesondere das Öffnen großer LTR-Datasets in verinice und im v.Designer wurde signifikant beschleunigt.

Webfrontend

Anwender*innen des modernisierten IT-Grundschutz stehen im Webfrontend unter Aufgaben für Anforderungen, Maßnahmen und Gefährdungen jetzt die Texte des IT-Grundschutz-Kompendiums zur Verfügung, was die Umsetzung der einzelnen Aufgaben stark vereinfacht:

Bugfixes und Detailverbesserungen

Über 30 weitere Bugfixes und Detailverbesserungen, die primär die generelle Performance betreffen, tragen zu einer erneuten Verbesserung von verinice 1.18.1 bei. Explizit zu erwähnen sind:

  • Java 8 wurde auf das neueste Release aktualisiert.
  • Zur Behebung einer Sicherheitslücke wurde die Elasticsearch REST API deaktiviert.
  • Beim Kopieren mit Verknüpfungen werden jetzt auch die Bemerkungen in den Verknüpfungen kopiert.
  • Im Editor stehen nun immer die vertikalen und horizontalen Scroll-Bars zur Verfügung.
  • Der alte CSV-Katalog-View in der ISM-Perspektive wurde abgekündigt und steht nicht mehr zur Verfügung.
  • VDA-ISA Reporttemplates können nur noch je Scope ausgeführt werden.

Sicherheitshinweise

Update

Wir haben Ihnen alle nötigen Informationen zum manuellen Update in einem Howto zusammengestellt.

Für das Update des verinice.PRO-Servers auf die Version 1.18.1 benutzen Sie bitte wie üblich den Paket-Manager "yum" (Details zum verinice.PRO-Update).

Neue Aktionen

keine

Entfernte Aktionen

  • addcatalog
  • deletecatalog
  • generateauditreport
  • ismcatalog

Geänderte Property Dateien

  • veriniceserver/WEB-INF/SNCA.xml, snca-messages[_cs|de].properties - u.A.: Änderungen für die Vereinfachung der Risikoanalyse nach BSI-Standard 200-3
  • veriniceserver/WEB-INF/verinice-auth-default.xml, verinice-auth-standalone-default.xml, verinice-auth-messages[_cs|de].properties - Entfernen der Aktionen: addcatalogdeletecataloggenerateauditreport und ismcatalog

Datenbankänderungen

keine

Codename: Mangalore

Veröffentlichung: 9. April 2019

ACHTUNG: Automatische Updates des Clients sind für verinice 1.18 nicht möglich! Wir haben Ihnen alle nötigen Informationen zum manuellen Update in einem Howto zusammengestellt. Für das Update des verinice.PRO-Servers auf die Version 1.18 benutzen Sie bitte wie üblich den Paket-Manager "yum" (Details zum verinice.PRO-Update).

Diese Version beinhaltet folgende Neuerungen und Verbesserungen:

VDA ISA 4.1.0

verinice unterstützt mit der Version 1.18 den VDA ISA Katalog in der Version 4.1.0 für TISAX in deutscher und englischer Sprache. Anwender können in der VDA Perspektive Information Security Assessments inklusive der Zusatzmodule Prototypen, Anbindung Dritter und Datenschutz durchführen.

VDA ISA

Der neue Katalog enthält darüber hinaus sämtliche Informationen zu Reifegradmodell, Anforderungsstufen, KPIs sowie weitere relevante Hinweise zur Durchführung eines Assesments.

VDA ISA Anhang

Hinweis: Die Reportvorlagen sind noch nicht Bestandteil des Release 1.18, werden aber kurzfristig nachgeliefert.

Modernisierter IT-Grundschutz

Konvertierung von Informationsverbünden

Anwender*innen des IT-Grundschutz können bestehende IT-Verbünde auf Grundlage der BSI-Standards der 100er-Reihe nun direkt in verinice in Informationsverbünde nach den BSI-Standards der 200er Reihe konvertieren.

Konvertierung von IT-Verbünden

Bei der Konvertierung wird eine Kopie des alten Modells in der Perspektive des Modernisierten IT-Grundschutz erzeugt, der alte IT-Verbund bleibt unverändert erhalten. Die Konvertierung kann beliebig oft wiederholt werden. Konvertiert werden alle Zielobjekte inklusive aller bestehenden Verknüpfungen.

Neben dieser Übernahme der Strukturanalyse werden auch die bestehende Schutzbedarfsdefinitionen und -vererbungen automatisiert übernommen.

Besonderheiten der Konvertierung:

  • Anwendungen können per Tag wahlweise als Prozess (Tag: MoGs:Prozess) oder Anwendung (Tag: MoGs:Anwendung), konvertiert werden (Groß-/Kleinschreibung beachten).
  • Wo erforderlich werden Gruppen im neuen Modell angelegt, siehe z.B. die Umntergruppen Gebäude und Räume im neuen Informationsverbund.
  • In seltenen Fällen kann der Typ einer Verknüpfung nicht eindeutig konvertiert werden, die Verknüpfung ist dann in der Beschreibung mit PRÜFEN:Verknüpfungstyp gekennzeichnet und kann einfach korrigiert werden.
  • Objekttypen die im alten IT-Grundschutz nicht verwendet wurden bzw. vorlagen werden nicht kopiert. Diese können über das Kontextmenü per rechtem Mausklick neu angelegt werden.
  • Eine Migration von Bausteinen des alten IT-Grundschutzkataloges auf das neu IT-Grundschutz-Kompendium erfolgt NICHT.

Optimierung der Risikoanalyse nach 200-3

Die Risikoanalyse nach BSI-Standard 200-3 wird in verinice 1.18 weiter optimiert:

  • Invalide Werte und doppelte Bezeichnungen in der Risikokonfiguration werden abgefangen.
  • Inkonsistenzen nach Änderung von Werten der Risikokonfiguration und bei der Berechnung werden vermieden.
  • Die Abschnitte Umsetzung und Maßnahmenstärke wurden aus Gründen der Konsistenz in Anforderungen und Maßnahmen zusammengefasst:

Maßnahmen-Umsetzung

  • Die Ableitung der Maßnahmenstärke wurde korrigiert für den Fall, dass Eintrittswahrscheinlichkeit oder Auswirkung auf unbearbeitet gesetzt wurde.
  • Inkonsistenzen bei der Änderung von Risikowerten mittels Masseneditor wurden behoben.
  • Anzeige und Änderung von Risikowerten im Webfrontend wurden verbessert.

Optimierung der Modellierung

Die Modellierung im Modernisierten IT-Grundschutz wurde in verinice 1.18 hinsichtlich der Performance insbesondere bei großen Verbünden weiter optimiert. Darüber hinaus werden kleiner Fehler behoben:

  • Bausteine und Maßnahmengruppen/Umsetzungshinweise werden analog zur Listung im IT-Grundschutz-Kompendium sortiert:

Baustein-Sortierung

  • Bei der wiederholten Modellierung eines bereits zuvor modellierten Bausteines werden die Einstellungen zur Ableitung nicht mehr überschrieben.
  • Die fehlerhafte Modellierung von ganzen Bausteingruppen wird unterbunden.
  • Die fehlende Anzeige des Views Verknüpfungen beim Reload wurde behoben.

Detailänderungen im Modernisierten IT-Grundschutz

Das verinice.TEAM implementiert verschiedene Detailverbesserungen in verinice 1.18:

  • Behoben wurde der Fehler, dass Anforderungen im Editor nicht geöffnet werden konnten, wenn die Option BSI-200-3 in den Einstellungen nicht aktiviert war.
  • Löschen von Personen mit Account in der Perspektive Modernisierter IT-Grundschutz hinzugefügt (nur verinice.PRO).
  • Tags können nun auch im Modernisierten IT-Grundschutz mittels Tastenkombination Pfeil runter ausgewählt werden.
  • Fehlende bzw. falsche Icons wurden korrigiert.
  • Die Sortierung von Verknüpfungen im Link Maker und Im Verknüpfungsview wurde neu definiert und ein Fehler behoben. Die Sortierungreihenfolge lautet nun wie folgt:
    • Objekttyp
    • Verknüpfungstyp
    • Vorgehensweise der Absicherung (wenn gegeben)
    • Identifier/Abkürzung des verknüpften Objekts
    • Titel/Name des verknüpften Objekts
  • Property "Tags" für Objektgruppen Dokumente, Vorfälle, Aufzeichnungen im Modernisierten IT-Grundschutz zur Vereinheitlichung hinzugefügt.

Klassischer IT-Grundschutz

Detailänderungen im klassischen IT-Grundschutz

Auch in der Perspektive des alten IT-Grundschutz wurden im Sinne der Produktpflege kleinere Änderungen und Verbesserungen vorgenommen:

  • Die Performance bei Erzeugung der Reports A.4 und A.7 wurde verbessert.
  • Im Assistenten zur Risikoanalyse können nun eigene Gefährdungen direkt bearbeitet und gelöscht werden.

ISM-Perspektive

Detailänderungen in der ISM-Perspektive

Mit verinice 1.18 werden die folgenden Verbesserungen vorgenommen:

  • Die Option Wird in SoA-Report angezeigt ist nun standardmäßig immer sichtbar.
  • Fehler beim Bearbeiten von Personen mittels Masseneditor behoben.

Globale Funktionen

Neue Java Runtime Environment

verinice wird ab Version 1.18 mit einer Java Runtime Environment (JRE) der Initiative AdoptOpenJDK ausgeliefert. AdoptOpenJDK erstellt JRE, die alle Security-Patches enthalten und kostenlos genutzt werden dürfen. Für verinice-AnwenderInnen ändert sich nichts: verinice wird auch weiterhin eine aktuelle JRE enthalten und die Installation damit möglichst einfach gehalten.

Bisher (inkl. Version 1.17) enthielt verinice eine JRE, die von Oracle kostenlos veröffentlicht wurde. Oracle hat jedoch 2018 den Java-Releasezyklus und die Lizenz für die JRE geändert, so dass es ab dem Jahr 2019 nicht mehr möglich ist, verinice mit der JRE von Oracle auszuliefern.

Kein verinice für 32-Bit Linux-Systeme

Ab Version 1.18 gibt es keinen Client mehr für 32-Bit Linux Systeme. Verinice wird ab dieser Version mit dem Java Runtime Environment (JRE) der Initiative AdoptOpenJDK ausgeliefert. AdoptOpenJDK stellt kein JRE für 32-Bit Linux zur Verfügung. Aus diesem Grund kann auch verinice nicht für diese Architektur erstellt werden. Wie bisher auch wird es weiterhin eine Linux Version von verinice für 64-Bit Systeme geben.

Report-Abfragen (LTR)

Die Report-Abfragen wurden in verinice 1.18 um eine wichtige zusätzliche Funktion erweitert:

In Report-Abfragen können nun Source-ID und External-ID exportiert werden. Damit besteht die Möglichkeit Daten zu exportieren, um diese z.B. in Excel extern bearbeiten zu lassen und Änderungen anschließend per CSV-Import wieder zu importieren.

IDs

CSV-Import

Beim CSV-Import sind die Felder mit Domäne/Perspektive und ID versehen, so dass das Mapping zwischen zu importierenden Daten und Datenfeldern in verinice deutlich vereinfacht wird.

CSV-Import

Tschechische Version

verinice steht mit der Version 1.18 erstmalig auch in Tschechischer Sprache zur Verfügung.

Weitere Informationen finden Sie auf der tschechischen Produktseite verinice hovoří česky.

verinice.EVAL

In verinice.EVAL wird mit der Version 1.18 die Importfunktion für .vna-Dateien freigeschaltet, damit Anwender Demodaten importieren können.

Globale Detailänderungen

Weitere globale Detailverbesserungen und Bugfixes in verinice 1.18:

  • Der Fehler beim Öffnen des Objektbowsers, wenn dieser vor dem Editor geöffnet wurde ist behoben.
  • Behoben wurde ein Fehler beim Speichern von leeren Dateien (0 Byte) im File View.
  • Die Option Passwort ändern wurde in der Einzelplatzversion per Default deaktiviert, da im Einzelplatzbetrieb ohne Funktion.
  • Probleme beim Update von Report Templates im View Template Repository wurden behoben (verinice.PRO).
  • Um das versehentliche Ändern von Feldinhalten beim Scrollen im Editor zu vermeiden wurde die Maus-Rad funktion für die Steuerelemente Single-Select und Datumsfelder deaktiviert.
  • Bei Zuweisung einer bereits erzeugten Aufgabe an eine andere Person musss die Domäne/Perspektive nicht mehr neu ausgewählt werden.
  • Ungültige Kombinationen von Fälligkeitsdatum und Erinnerungsfrist abgefangen

Report-Vorlagen

Das verinice.TEAM überarbeitet momentan alle Report-Templates grundlegend und wird diese in einem in Kürze erscheinenden Folge-Release verinice 1.18.1 veröffentlichen.

Alle Report-Templates werden im verinice Forum als Vorabversionen zum Download bereitgestellt!

  1. Überarbeitung der Vorlagen für den Modernisierten IT-Grundschutz

    • A.1 Strukturanalyse

    • A.1 Strukturanalyse-Abhängigkeiten

    • A.2 Schutzbedarfsfeststellung (1.18)

    • A.3 Modellierung

    • A.4 Grundschutz-Check

    • A.5 Risikoanalyse (1.18)

    • A.6 Realisierungsplan

  2. Überarbeitung der Vorlagen für VDA ISA 4.1.0

    • Information Security Assessment Report

    • Information Security Assessment Report (mit Diagramm)

  3. Umstellung der Risikoreports für die ISM-Perspektive:

    • Risikobeurteilung

    • Risikobehandlung

Neue Aktionen

  • BSIMOD/F/IT-Verbünde konvertieren, Action-ID:convertitnetwork

Geänderte Property Dateien

  • veriniceserver/WEB-INF/SNCA.xml, snca-messages.properties, snca-messages_de.properties

Datenbankänderungen

keine

Codename: Raglan
Veröffentlichung: 13.02.2019

Ab sofort stehen verinice und verinice.PRO in Version 1.17.2 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung.

ACHTUNG: Automatische Updates des Clients sind für verinice 1.17.x nicht möglich! Wir haben Ihnen alle nötigen Informationen zum manuellen Update in einem HowTo zusammengestellt. Für das Update des verinice.PRO-Servers auf die Version 1.17 benutzen Sie bitte wie üblich den Paket-Manager "yum".

Das verinice.TEAM veröffentlicht verinice 1.17.2, das verschiedene Bugs bei der Modellierung im Modernisierten IT-Grundschutz behebt:

  • In einigen Fällen wurden bei der Modellierung Elementare Gefährdungen mit falschen Zielobjekten verknüpft.
  • In Grenzfällen ließen sich einige Bausteine gar nicht modellieren, dies betraff insbesondere die Bausteine DER.4, ORP.4, OPS.3.1 und OPS.2.1, wenn die Modellierung mit Blanko-Maßnahmen durchgeführt wurde.
  • Baustein-Anforderungen konnten nicht im Editor geöffnet werden, wenn in den Einstellungen der Abschnitt BSI 200-3 aktiviert war.

Insbesondere bei großen Verbünden wurde in allen Perspektiven die Performance optimiert, indem das Erzeugen, Anzeigen und Löschen von Verknüpfungen stabiler und performanter erfolgt. Neben direkten Einflüssen wurden auch Randeffekte wie zum Beispiel die Erzeugung des Such-Index und das Löschen von Objekten allgemein optimiert.

Das Update auf verinice 1.17.2 wird allen Anwendern des Modernisierten IT-Grundschutz empfohlen

Codename: Raglan
Veröffentlichung: 9.11.2018

Ab sofort stehen verinice und verinice.PRO in Version 1.17 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung.

ACHTUNG: Automatische Updates des Clients sind für verinice 1.17 nicht möglich! Wir haben Ihnen alle nötigen Informationen zum manuellen Update in einem HowTo zusammengestellt. Für das Update des verinice.PRO-Servers auf die Version 1.17 benutzen Sie bitte wie üblich den Paket-Manager "yum" (Details zum verinice.PRO-Update). Als Administrator eines verinice.PRO-Servers beachten Sie außerdem bitte den Sicherheitshinweis am Ende dieser Release Notes!

Diese Version beinhaltet folgende Neuerungen und Verbesserungen:

Optimierte Modellierung im Modernisierten IT-Grundschutz

verinice 1.17 unterstützt nun die mehrfache Modellierung von Bausteinen für unterschiedlichen Zielobjekte:

Zudem werden in verinice 1.17 jetzt immer alle Baustein-Anforderungen (Basis, Standard, erhöhter Schutzbedarf) und – sofern aktiviert – alle zugehörigen Umsetzungshinweise modelliert. Bei aktiviertem Filter werden die Anforderungen bzw. Maßnahmen entsprechend der für den Informationsverbund festgelegten Vorgehensweise der Absicherung gefiltert. Der Filter wirkt auch auf verknüpfte Gefährdungen, so werden z.B. im Link-Maker nur Gefährdungen angezeigt, die mit Basis-Anforderungen verknüpft sind:

So wird gewährleistet, dass z.B. nach erfolgreicher Basisabsicherung eines Informationsverbundes einfach auf die Standardabsicherung umgestellt werden kann.

Migration alter Modellierungen im Modernisierten IT-Grundschutz

Beim ersten Start von verinice 1.17 wird jede bisherige Modellierung im Modernisierten IT-Grundschutz auf die neue Modellierung migriert.

ACHTUNG: Bitte erstellen Sie deshalb vor jeder neuen Installation bzw. jedem ersten Start von verinice 1.17 ein Backup all Ihrer Informationsverbünde.

Verbesserungen für das IT-Grundschutz-Kompendium

Die Modellierungshinweise werden nun im Objektbrowser der Bausteine angezeigt:

Die Texte aus den Umsetzungshinweisen werden (sofern vorhanden) zusätzlich in den Anforderungen mit ausgegeben. So stehen die Umsetzungshinweise auch dann zur Verfügung, wenn in verinice nicht explizit mit dem Objekttyp Maßnahmen gearbeitet wird:

Hybride Modellierung

Parallel zum IT-Grundschutz-Kompendium stellt das verinice-Team einen Katalog zur Verfügung, der alle im neuen IT-Grundschutz-Kompendium noch nicht verfügbaren Bausteine aus der 15. Ergänzungslieferung der IT-Grundschutzkataloge enthält. Die Bausteine der 15. EL können so im Modernisierten IT-Grundschutz per Drag&Drop direkt modelliert werden, Anforderungen werden aus den Maßnahmen der 15. EL generiert und können ggfs. angepasst werden, Maßnahmen stehen als Umsetzungshinweise zur Verfügung und die Gefährdungen der IT-Grundschutzkataloge werden als zusätzliche Gefährdungen modelliert.

Neuer Filter im View Modernisierter IT-Grundschutz

Der Filter im View Modernisierter IT-Grundschutz ermöglicht jetzt die Suche nach Umsetzungsstatus und Sicherheitsstufe für Anforderungen und Maßnahmen.

Benutzerdefinierte Bausteine, Maßnahmen und Gefährdungen

Für jedes Zielobjekt lassen sich über das Kontextmenü (rechter Mausklick) direkt benutzerdefinierte Bausteine, Maßnahmen und Gefährdungen anlegen.

Verbesserungen bei Report-Abfragen

Report-Abfragen können nun Verknüpfungen in anderen Scopes folgen um Daten von dort mit auszugeben.

Darüber hinaus wurden einige fehlende Verknüpfungen ergänzt und fehlerhafte Verknüpfungen korrigiert, so dass die Daten nun in Abfragen und Reports verwendet werden können (betrifft z.B. Anforderungen und Netzwerkkomponenten im Modernisierten IT-Grundschutz).

RCP4-Migration

Das verinice.TEAM hat die Entwicklungsumgebung auf eine neuere Version aktualisiert, um einige betriebssystemrelevante Probleme (macOS X, Ubuntu Linux) zu beheben und die Zukunftssicherheit insgesamt zu gewährleisten.

Die wenigsten mit diesem Update einhergehenden Neuerungen sind für die Anwender sofort erkennbar, als augenfälligste sind zu erwähnen:

Die neue Umgebung ermöglicht den Einsatz weiterer Designeelemente, z.B. Karteireiter im Editorbereich:

Im Editorbereich können nun zudem mehrere Views übereinander bzw. hintereinander geöffnet werden, was bei einigen Aufgaben in verinice hilfreich sein kann.

ACHTUNG: Aufgrund des neuen Frameworks ist kein AUTOMATISCHES Update von einer älteren Version auf verinice 1.17 möglich! Bitte beachten Sie die Vorgehensweise zur Durchführung des manuellen Updates: Update auf verinice 1.17.

Der neue Katalog-View

Der neue Katalog-View wird nun standardmäßig in den Perspektiven Modernisierter IT-Grundschutz und ISM/ISO eingesetzt. In der Perspektive ISM/ISO löst der neue Katalog zudem den alten CSV-Katalog ab, der in der nächsten verinice-Version abgekündigt wird.

In den neuen Katalog-View kann jegliche vna-Datei schreibgeschützt als Katalog, Template, Master, Vorlage, Profil, etc. geladen werden.

Neben der bereits mit verinice 1.16 eingeführten Modellierung von Bausteinen des IT-Grundschutzkompendiums per Drag&Drop können aus dem Katalog-View heraus nun auch alle Elemente mittels Kontextmenü (rechter Mausklick) mit oder ohne Verknüpfungen in die Modell-View (Tree) kopiert werden. Beim Kopieren mit Verknüpfung werden anders als im Modell-View dabei keine Verknüpfungen zurück in den Katalog kopiert, sondern sinnvollerweise nur Verknüpfungen zwischen den kopierten Objekten selbst!

Die Risikoanalyse nach BSI Standard 200-3

Im Modernisierten IT-Grundschutz können die Parameter/Definitionen zur Risikoanalyse (Eintrittswahrscheinlichkeits-/Schadensauswirkungs-Matrix) jetzt je Informationsverbund separat in einer grafischen Oberfläche definiert werden:

Definition der Eintrittshäufigkeit:

Definition der Auswirkung:

 

Definition der Risikokategorien:

 

Definition der Risikomatrix:

 

Die berechneten Risikowerte werden in den mit den einzelnen Zielobjekten verknüpften Gefährdungen abgebildet:

In Anforderungen bzw. Maßnahmen (sofern verwendet) kann definiert werden, ob Anforderung bzw. Maßnahme eine Risikoreduktion bewirken und welchen Effekt (Maßnahmenstärke) diese haben.

Die Maßnahmestärke reduziert entweder die Eintrittshäufigkeit oder die Auswirkung auf einen niedrigeren Wert, das Risiko selbst wird auf Basis der definierten Risikomatrix berechnet und kann direkt nicht geändert werden.

Sind mehrere Anforderungen/Maßnahmen verknüpft, die eine Risikoreduktion bewirken, so wird das Risiko in Bezug auf Eintrittshäufigkeit auf den jeweils kleinsten Wert gesetzt (Minimumprinzip).

Bei explizierter Verwendung von Maßnahmen kann die Maßnahmenstärke von der Maßnahme auf die Anforderung vererbt werden:

AD-Anbindung und Aufgabenworkflow im Modernisierten IT-Grundschutz

verinice 1.17 unterstützt nun auch für den Modernisierten IT-Grundschutz die Anbindung an ein Active Directory und ermöglicht den Aufgabenworkflow zur Erstellung von Tasks z.B. zur Umsetzung von Anforderungen oder Maßnahmen.

Sonstiges

Das verinice.TEAM veröffentlicht mit verinice 1.17 über 70 weitere Detailverbesserungen und behebt verschiedenste kleinere Bugs. Dazu gehören: 

  • Behebung von Fehlern und kleinere Verbesserungen im Masseneditor.
  • Im Webfrontend wurde das Verhalten unterschiedlicher Elemente bei aktiviertem Freigabeprozess im Aufgabenworkflow verbessert.
  • Der E-Mail-Link für die Benachrichtigung im Aufgabenworkflow wurde korrigiert.
  • Der standardmäßig voreingestellte Speicher für verinice wurde aktuellen Systemen angepasst und auf 4 GB für den Client bzw. 16 GB für den Server erhöht.

Hinweis für AnwenderInnen des Modernisiersten IT-Grundschutzes

Alle AnwenderInnen des Modernisiersten IT-Grundschutzes beachten bitte ausdrücklich, dass verinice 1.17 aufgrund der Umstellung der Modellierung beim ersten Start eine Migration aller im Moderniserten IT-Grundschutz angelegten Informationsverbünde startet.

Bitte erstellen Sie vor dem ersten Start unbedingt ein Backup aller Daten!

Sicherheitshinweis für verinice.PRO Administratoren

Neue Aktionen in der Rechteprofilverwaltung

  • BSIMOD/F/Konfiguration der Risikoanalyse bearbeiten, Action-ID:editriskconfiguration

Geänderte Property Dateien

  • veriniceserver/WEB-INF/SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • veriniceserver/WEB-INF/verinice-auth-default.xml, verinice-auth-standalone-default.xml, verinice-auth-messages[_de].properties

 

Codename: Agger
Veröffentlichung: 17.04.2018


Ab sofort stehen verinice und verinice.PRO in Version 1.16 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung.

ACHTUNG: Als Administrator eines verinice.PRO Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes!

Diese Version beinhaltet folgende Neuerungen und Verbesserungen:

Die EU-DSGVO in verinice

Zeitgleich zum Release von verinice 1.16 steht im verinice.SHOP bzw. im Update-Repository auch das neue Datenschutzmodul für die DSGVO zum Download bereit. Das Modul ermöglicht die Abbildung des Verzeichnisses der Verarbeitungstätigkeiten und die erforderliche Dokumentation zur Auftragsverarbeitung. Bis zum Stichtag im Mai sind für das Datenschutzmodul weitere Updates geplant.

Verzeichnis der Verarbeitungstätigkeit

Im Zusammenspiel mit dem neuen Datenschutzmodul unterstützt verinice das Verzeichnis der Verarbeitungstätigkeiten und löst das Interne Verfahrensverzeichnis ab.

 

Verschiedene Report-Vorlage helfen bei der Erstellung der erforderlichen Dokumentation nach EU-DSGVO.

TOMs und Datenschutzziele

Die Verarbeitungstätigkeiten können mit den technischen und organisatorischen Maßnahmen (TOMs) nach ISO oder IT-Grundschutz (IT-Grundschutzkataloge) als Datenschutzziele verknüpft werden.

 

Auftragsverarbeitung

Zur Dokumentation der datenschutzrechtlichen Verpflichtung hinsichtlich der Auftragsverarbeitung stehen neue Controls zur Verfügung, die sowohl aus Sicht des Auftragnehmers als auch des Auftraggebers verwendet werden können.

 

Zum Nachweis der Anforderungen stehen alle erforderlichen Reportvorlagen zur Verfügung.

Migration vom BDSG zur EU-DSGVO

Anwender der ersten Version des Datenschutzmoduls nach BDSG können die automatische Migration zur Version 2 und damit auf die DSGVO nutzen.

 

Verbesserungen im Modernisierten IT-Grundschutz

Umsetzungsstatus

Den Umsetzungsstatus von Anforderungen und Maßnahmen verdeutlicht verinice 1.16 im Modernisierten IT-Grundschutz nun analog zum bisherigen IT-Grundschutz durch Icons. Neben der Darstellung in der Baumstruktur des Views Modernisierter IT-Grundschutz wird der Status auch in den Verknüpfungen (Link-Maker) und im Tab-Bereich des Objekteditors angezeigt.

 

Identifier

Das Feld "Identifier" kennzeichnet Anforderungen, Maßnahmen und Gefährdungen bei Verknüpfungen im Link-Maker.

 

So lässt sich besser erkennen, welches Zielobjekt bzw. welche der oben genannten Objekte miteinander verknüpft sind.

IT-Grundschutzkompendium

Das in verinice verwendete IT-Grundschutzkompendium wurde verfeinert und kleinere Änderungen seitens des BSI wurden eingearbeitet. Anwender von verinice 1.16 nutzen bitte ab sofort die neue Version des IT-Grundschutzkompendiums, das zum Donwload auf der verinice-Webseite bzw. im Update-Repository zur Verfügung steht.

Neue Objekttypen

Um die vielfältigen Dokumentationsaufgaben auch im Modernisierten IT-Grundschutz übersichtlicher gestalten zu können, wurden drei neue Objekttypen eingeführt. Objekte vom Typ Dokumente, Aufzeichnungen oder Vorfälle können jetzt direkt in der Perspektive Modernisierter IT-Grundschutz gepflegt werden und ermöglichen so die organisationsweite Dokumentenablage.

 

Kontextbezug bei Reportabfragen

Die Erstellung von Reportabfragen ist in verinice 1.16 durch die bessere Darstellung des Kontextes der einzelnen Elemente stark vereinfacht. Zum einen wird dargestellt, aus welcher Perspektive die Elemente stammen (ISM, GS alt, GS neu, ...), zum anderen ist der Objektname angegeben, so dass einfacher zwischen Objektgruppen und einzelnen Objekten unterschieden werden kann.

 

RPMs for RHEL 7 / CentOS 7

verinice.PRO kann jetzt auch auf Servern mit Red Hat Enterprise Linux (RHEL) 7 und CentOS 7 installiert werden. Es stehen in zwei Repositories RPM-Pakete für RHEL und CentOS 6 soqiw die aktuelle Version 7 bereit. Das verinice.TEAM empfiehlt, auf neuen Servern verinice.PRO auf RHEL 7 oder CentOS 7 zu installieren. Der Support von RedHat für RHEL 6 endet 2020. Bis wann es verinice-Pakete für RHEL und CentOS 6 geben wird, ist noch nicht entschieden. Wir werden das Ende des Supports für diese Version rechtzeitig ankündigen.

Sicherheitshinweis für verinice.PRO Administratoren

Neue Aktionen

Neue Aktionen in der Rechteprofilverwaltung:

  • ISM/F/Migriere zu DS-GVO, Action-ID: migrate_data_protection

Geänderte Property-Dateien

  • veriniceserver/WEB-INF/SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • veriniceserver/WEB-INF/verinice-auth-default.xml, verinice-auth-standalone-default.xml, verinice-auth-messages[_de].properties

Codename: Miyazaki
Veröffentlichung: 01.02.2018

Ab sofort stehen verinice und verinice.PRO in Version 1.15 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung.

ACHTUNG: Als Administrator eines verinice.PRO Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes!

Diese Version beinhaltet folgende Neuerungen und Verbesserungen:

Modernisierter Grundschutz

verinice 1.15 ist die erste Version, mit der die Umsetzung des Modernisierten IT-Grundschutz nach den neuen BSI-Standards 200-1, 200-2 und 200-3 möglich ist.

 

Zur Abbildung der Standards wurde das Datenbankmodell umfassend und zukunftssicher erweitert, alle neuen Objekttypen des Modernisierten IT-Grundschutz stehen zur Verfügung.

 

 

Die Benutzeroberfläche wurde analog um die neue Perspektive Modernisierter IT-Grundschutz und die neuen Views IT-Grundschutzmodel und IT-Grundschutz-Kompendium erweitert.

Das IT-Grundschutz-Kompendium steht als verinice XML-Datei (.vna) zum Import in den neuen View IT-Grundschutz-Kompendium zur Verfügung.

 

Informationsverbünde können nach der Basis-, Standard- oder Kernabsicherung modelliert werden.

Die Referenzdokumente A.1 bis A.4 stehen als Reportvorlagen zur Verfügung.

Ausblick

Das verinice.TEAM wird den Modernisierten Grundschutz in 2018 in mehreren Releases optimieren und weitere Konkretisierungen seitens des BSI umsetzen. Hierzu zählen das Risikomanagement und insbesondere die Migration vom bisherigen IT-Grundschutz-Katalog auf das IT-Grundschutz-Kompendium.

Die EU-DSGVO in verinice

verinice 1.15 legt die Grundlagen für die EU-DSGVO und den Einsatz des weiterentwickelten Datenschutzmoduls, das in Kürze zum Download im verinice.SHOP bzw. im Update-Repository bereit steht. Das eigenständige Modul unterstützt dann die Abbildung des Verzeichnisses der Verarbeitungstätigkeiten und die erforderliche Dokumentation zur Auftragsdatenverarbeitung. Bis zum Stichtag im Mai sind für das Datenschutzmodul Erweiterungen geplant, so dass das Datenschutz-Risikomanagement und die Datenschutzfolgenabschätzung mit verinice vorgenommen werden können.

Detailverbesserungen und Fehlerkorrekturen

Das verinice.TEAM hat im Rahmen der Produktpflege verschiedene Bugs behoben und Detailsverbesserungen eingebaut. Die bedeutendsten Verbesserungen dabei sind:

  • Die Suchfunktion in verinice ist durch die Behebung einiger Bugs verbessert worden. Suche und Indexierung sind jetzt in Grenzfällen stabiler.
  • Die Verwendung von in verinice erstellten Report Abfragen im v.Designer wurde verbessert. vlt-Dateien können im v.Designer geladen und direkt als Datasets eingebunden werden.
  • Im Webfrontend wurde das Verhalten verschiedener Element verbessert:
    • Multiselect-Felder werden jetzt korrekt angezeigt.
    • Abhängige Felder/Elemente werden jetzt korrekt abgebildet.
  • Durch die Optimierung der verinice.REST-Schnittstelle ist der Weg frei für die Anbindung weiterer externer Systeme (KIX).

Sicherheitshinweis für verinice.PRO Administratoren

Neue Java Version

Ab verinice 1.15 erfordert der verinice Server Java 1.8.

Geänderte Property-Dateien

SNCA.xml, snca-messages.properties, snca-messages_de.properties:

  • Weitreichende Änderungen im Modernisierten IT-Grundschutz

Datenbankänderungen

Tabelle properties:

  • Veränderter Datentyp für Derby: propertyvalue, Typ: CLOB (Derby)

Neue Aktionen in der Rechteprofilverwaltung:

  • BSIMOD/F/BSI-Element hinzufügen, Action-ID: addbpelement 
  • BSIMOD/F/BSI-Gruppe hinzufügen, Action-ID: addbpgroup 
  • BSIMOD/F/BSI-Informationsverbund hinzufügen, Action-ID: additnetwork 
  • BSIMOD/F/Kataloge löschen, Action-ID: catalogdelete 
  • BSIMOD/F/Katalogimport, Action-ID: catalogimport 
  • BSIMOD/F/Modernisiertes Grundschutz modellieren, Action-ID: baseprotectionmodeling
  • BSIMOD/V/IT-Grundschutz-Kompendium, Action-ID: catalogview
  • BSIMOD/V/Modernisiertes BSI Modell anzeigen, Action-ID: baseprotectionview 

verinice Codename: Acapulco
Veröffentlichungsdatum: 10.07.2017

Ab sofort stehen verinice und verinice.PRO in Version 1.14 zum Download im verinice.SHOP bzw. im Kundenrepository zur Verfügung.

ACHTUNG: Als Administrator eines verinice.PRO Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes!

Diese Version beinhaltet folgende Neuerungen und Verbesserungen:

Webfrontend

verinice 1.14 beschert verinice.PRO-Kunden ein modernisiertes Webfrontend. Dieses zeichnet sich durch ein frisches und modernes Erscheinungsbild sowie eine Bedienung mit kontrastreicher, aufgeräumter Oberfläche aus. Auch unter der Haube wurde das Webfrontend verbessert, insbesondere im Hinblick auf die Sicherheit: Benutzerrechte werden nun durchgehend berücksichtigt, der Zugriff kann über Deep-Links erfolgen und für den Logout steht explizit eine Abmeldefunktion zur Verfügung.

Das Webfrontend kann nun auch auf mobilen Geräten komfortabel genutzt werden. Vor allem ist das neue Webfrontend aber eine Investition in die Zukunft: Aufbauend auf den Neuerungen sollen in künftigen Versionen vielfältige Funktionen hinzu kommen.

Das verinice Webfrontend unterstützt folgenden Browser:

  • Google Chrome ab Version 48
  • Mozilla Firefox ab Version 45
  • Microsoft Internet Explorer 11
  • Microsoft Edge
  • Apple Safari ab Version 10

Das Webfrontend ist auch auf anderen Browsern lauffähig. SerNet testet verinice jedoch nicht mit diesen Browsern.

Grafische Auswertung

Das neue Webfrontend bietet erstmals eine grafische Darstellung: Diese zeigt den Umsetzungsstatus der Grundschutzmaßnahmen und der ISO-Controls über alle Verbünde/Organisationen. AnwenderInnen können so jederzeit den aktuellen Stand der Informationssicherheit in Echtzeit einsehen und z.B. an das Management kommunizieren. Insbesondere in Installationen mit mehreren Verbünden/Organisationen werden die Umsetzungsstatus standardmäßig einheitlich skaliert und präsentiert, um einen direkten Vergleich zu ermöglichen.

Die grafische Darstellung im Webfrontend eröffnet ein wichtiges Feld: die Visualisierung der Informationssicherheit und die Präsentation spezifischer Fragestellungen in Echtzeit. Zusammen mit dem bereits mit verinice 1.13 eingeführten und in verinice 1.14 weiter optimierten Reporting ist es das Ziel, die Arbeit des CISO oder SiBe weiter deutlich zu vereinfachen und Ergebnisse und Erfolge besser und schneller aufzeigen zu können.

Lizenzmanagement

Mit Version 1.14 verfügt verinice erstmals über ein Lizenzmanagement. Die vollständigen Standards und Normen stehen jetzt inklusive der kompletten, lizenzpflichtigen Originalinhalte direkt im Tool zur Verfügung. So können bei der Implementierung der verschiedenen Informationssicherheitsstandards sämtliche Details und Erläuterungen wie etwa Umsetzunghinweise zu Maßnahmen oder Controls verwendet werden. Das zusätzliche Studium langer Dokumente in Papierform entfällt, die fehleranfällige manuelle Eingabe ist überflüssig und die Originalinhalte können einzelnen AnwenderInnen bedarfsgerecht zu Verfügung gestellt werden.

Das neue Lizenzmanagement in verinice 1.14 garantiert allen AnwenderInnen die organisationsweite Einhaltung von Lizenzverpflichtungen. Inhalte können je NutzerIn und Jahr lizenziert werden. Das ermöglicht eine effektive Kostenkontrolle. Lizenzen zu Inhalte, die in verinice verfügbar sind, können in Kürze im verinice.SHOP erworben werden.

ACHTUNG: Aus lizenrechtlichen Gründen umfasst das Lizenzmanagement in verinice 1.14 nur die Verwendung und Anzeige der Inhalte in verinice. Originaldokumente werden weder in Papierform noch in sonstiger digitaler Form außerhalb von verinice zur Verfügung gestellt!

Risikoanalyse

Bei der Risikoanalyse in der ISMS-Perspektive kann nun ausgewählt werden, für welche Organisationen die Berechnung durchgeführt werden soll. Bei Installationen mit vielen Organisationen kann die Dauer der Risikoanalyse damit deutlich verkürzt werden. Nach erfolgreicher Berechnung wird jetzt auch ein Bestätigungsdialog angezeigt.

Report Templates bereinigt

In verinice 1.14 wurden ältere unbenutzte Reports abgekündigt, um die Übersicht im Report Repository zu verbessern. Mit dem bereits in verinice 1.13 eingeführten Abfrageassistenten lassen sich benutzerspezifische Reports schnell und komfortabel erstellen. Das verinice.TEAM wird kontinuierlich weitere Report-Templates auf diese neue Technologie umstellen, um die Performance bei der Reporterzeugung zu steigern.

Optimierung des Abfrageassistenten und des v.Designers

Der Abfrageassistent wurde weiter verbessert. Mit ihm lassen sich jetzt Abfragen über alle Organisationen/Scopes ausführen. Auch die Anbindung an den v.Designer wurde optimiert. Sie ermöglicht die effektive Erstellung anwenderspezifischer Report-Templates auf Basis eigener Data Sets - sowohl in verinice.PRO als auch in der Einzelplatzversion. Verbessert wurde auch die Anbindung an das Datenbankmodell, um die Verwendung kundenspezifischer Felder und Daten zu vereinfachen.

Abkündigung der alten Datenschutzperspektive

Seit verinice 1.14 weist eine Warnung darauf hin, dass die alte Datenschutzperspektive angesichts der anstehenden Änderungen im Datenschutz nicht mehr verwendet werden sollte. Mit der kommenden Version verinice 1.15 wird die alte Datenschutzperspektive vollständig abgekündigt. Für neue Datenschutz-Modelle steht bereits seit verinice 1.13 das Datenschutzmodul zur Verfügung, mit dem die Anforderungen des BDSG und der EU-DSGVO nach heutigem Stand abgebildet werden können. Das Datenschutzmodul steht allen verinice.PRO Kunden im Download Repository zur Verfügung, Nutzer der Einzelplatzversion können das Datenschutz-Modul im verinice.SHOP erstehen.

Für Interessierte bietet das verinice.TEAM Webinare zum Thema Interne Verarbeitungsübersicht nach EU-DSGVO mit verinice an. Das Datenschutzmodul wird künftig um weitere Aspekte wie z.B. die Auftragsdatenverarbeitung ergänzt und natürlich zum Mai 2018 an die abschließenden Anforderungen nach EU-DSGVO angepasst werden.

Detailverbesserungen und Fehlerkorrekturen

Das verinice.TEAM hat für verinice 1.14 einige Fehler behoben und kleinere Verbesserungs­vorschläge aus dem Kreis der AnwenderInnen umgesetzt. Diese steigern v.a. den Anwendungskomfort. Darüber hinaus wurden verschiedene kleinere Funktionen implementiert, um die Sicherheit zu verbessern.

Sicherheitshinweis für verinice.PRO Administratoren

Geänderte Property Dateien

veriniceserver/WEB-INF/web.xml
Datei veriniceserver-security-web.xml wurde entfernt.

veriniceserver/WEB-INF/veriniceserver-plain.properties[-default|local]

  • Neu: veriniceserver.risk.calculation.method=ADDITION
  • Neu: veriniceserver.object.limit=10000 (A limit on how many elements can be loaded at once. Set -1 to disable the limit )
  • veriniceserver.grundschutzKataloge=/WEB-INF/it-grundschutz_el15_html_de.zip

SNCA.xml, snca-messages.properties, snca-messages_de.properties

veriniceserver/WEB-INF/verinice-ldap.properties

  • Neu: ldap.search.user=
  • Neu: ldap.search.password=

veriniceserver/WEB-INF/verinice-auth-default.xml

 

Datenbankänderungen

Tabelle properties:

  • Neue Spalte: licenseContentId, Typ: varchar(255)
  • Neue Spalte: limitedLicense, Typ: boolean (PostgreSQL), smallint (Derby)

Codename: Sylt
Veröffentlichungsdatum: 19.12.2016

Ab sofort stehen verinice und verinice.PRO in Version 1.13.1 zum Download zur Verfügung; der Bezug von verinice ist ab dieser Version nur noch über den verinice.SHOP möglich. 

ACHTUNG: Als Administrator eines verinice.PRO Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes!

Business-Impact-Analyse nach BSI-IT-Grundschutz 100-4

Neuer, fester Bestandteil in verinice 1.13.1 ist die Abbildung der Business-Impact-Analyse nach BSI-Standard 100-4. Die Business-Impact-Analyse liefert Ihnen alle notwendigen Informationen über kritische Geschäftsprozesse und Ressourcen. Sie ergänzt die Risikoanalyse nach BSI-Standard 100-3, die Ihnen alle notwendigen Informationen über bestehende Risiken liefert, gegen die sich Ihre Organisation absichern sollte. verinice komplettiert damit die Unterstützung für sämtliche Standards des BSI-IT-Grundschutz.

 

Verbesserter Abfrageassistent

Die Benutzeroberfläche des Abfrageassistenten wurde weiter verbessert und intuitiver gestaltet. Nach Markieren einer Zeile kann diese nun direkt verschoben oder gelöscht werden.

 

Bei den Abfrageergebnissen werden jetzt Zellen mit sich wiederholenden Inhalten, wie z.B. Eltern-Elemente, ausgefüllt. Bei der weiteren Bearbeitung in Tabellenverarbeitungsprogrammen können Sie so einfach nach bestimmten Werten filtern und sortieren.
Um im verinice Report-Designer Abhängigkeiten zwischen mehreren Objekten aus unterschiedlichen Tabellen abbilden zu können (Verwendung von Datacubes), können nun auch Datenbank-ID's (Scope-, Parent-, UUID's) als Spalten ausgegeben werden.
Das verinice.TEAM hat zudem viele Detailverbesserungen implementiert, die die Arbeit mit dem Abfrageassistenten weiter vereinfacht.

Abfrageassistent für Datasets im verinice Report-Designer

Mit dem Update verinice 1.13.1 steht der Abfrageassistent inklusive graphischer Benutzeroberfläche jetzt auch im verinice Report-Designer zur Verfügung.

Generieren Sie intuitiv eigene Datasets mit dem Abfrageassistenten und präsentieren Sie die Daten aussagekräftig mittels einer vielfältigen Auswahl von Graphiken, Tabellen und weiteren Layoutelementen. Stellen Sie die Report-Templates allen Anwendern oder ausgewählten verinice-Nutzern rollenspezifisch zur Verfügung und ermöglichen Sie die Erzeugung standardisierter Reports im einheitlichen Layout auf Knopfdruck.

 

Abfragen können damit sowohl in verinice als auch im Report-Designer erstellt, gespeichert und geladen werden. Eine Basis - viele Einsatzzwecke!
Das verinice.TEAM wird ausgewählte Standard-Reporttemplates, wie z.B. die Referenzdokumente für den BSI-Grundschutz, in Kürze auf mit Abfrageassistenten generierten Datasets umstellen und die Erzeugung dieser Reports damit erheblich beschleunigen.

 

Der Report-Designer steht zudem ab sofort als Einzelplatzlösung zur Verwendung mit dem verinice-Client bereit und kann über den verinice-Shop bezogen werden. Anwender der verinice Einzelplatzlösung erhalten damit die Möglichkeit, Berichte schneller und einfacher mittels der neuen graphischen Oberfläche des Abfrageassistenten zu erstellen und hinsichtlich Stil und Layout anzupassen.

Anzeige der Netto-Risikowerte 

In den Verknüpfungen zwischen Assets und Szenarien werden in der ISM-Perspektive zusätzlich zu den Brutto-Risikowerten (Risikowerte ohne Berücksichtigung implementierter Maßnahmen) in verinice 1.13.1 auch die Netto-Risikowerte (Risikowerte mit Berücksichtigung implementierter Maßnahmen) angezeigt. Diese Darstellung ermöglicht Ihnen die unmittelbare und bessere Beurteilung einzelner Risiken nach ISO 27005 direkt während der Arbeit an Assets oder Szenarien in verinice.

Die Netto-Risiken stehen natürlich auch zur Ausgabe in Abfragen zur Verfügung.

 

Risikobehandlungsmethode

Ebenfalls in den Verknüpfungen zwischen Assets und Szenarien kann jetzt die Risikobehandlungsmethode festgehalten werden. Mit dieser Option können Sie für jedes einzelne Risiko gemäß der ISO 27005 die geeignete Methode der Risikobehandlung (Akzeptieren, Modifizieren, Übertragen, Vermeiden) definieren und dokumentieren.

Auch die Risikobehandlungsmethode kann in Abfragen verwendet werden.

Freigabeprozess im Aufgaben-Workflow

Der Aufgaben-Workflow wurde um einen Freigabeprozess erweitert, der optional aktiviert werden kann. Nimmt der Bearbeiter einer Aufgabe Änderungen an einem Objekt vor, so werden diese Änderungen erst dann übernommen, wenn der Ersteller der Aufgabe die Änderungen freigibt.

 

Änderungen können zurückgewiesen werden und dem selben oder einem anderen Bearbeiter erneut zugewiesen werden. Alle Änderungen werden in einem Dialog den ursprünglichen Inhalten gegenübergestellt, um Ihnen die Entscheidung über die Freigabe zu vereinfachen.

Detailverbesserungen und Fehlerkorrekturen

Das verinice.TEAM hat für verinice 1.13.1 einige Fehler behoben und kleinere Verbesserungs­vorschläge aus dem Kreis der Anwender umgesetzt. Viele davon steigern den Anwendungskomfort.

Geänderte Property Dateien

Erweiterungen für Datenschutz, BSI-BIA 100-4 und PCI DSS

  • SNCA.xml

  • snca-messages.properties

  • snca-messages_de.properties

 

Erweiterungen für den Updateprozess
 

Neu in veriniceserver/WEB-INF/web.xml

  • classpath:sernet/gs/server/spring/veriniceserver-updatenews-dummy.xml

 

Neue Berechtigung
 

Neue Action-ID: taskwithreleaseprocess (ALL/F/Freigabeprozess aktivieren) in:

  • verinice-auth-default.xml

  • verinice-auth-messages.properties

  • verinice-auth-messages_de.properties

Datenbankänderungen

Neue Spalten in Tabelle cnalink:

  • riskConfidentialityWithControls

  • riskIntegrityWithControls

  • riskAvailabilityWithControls

  • riskTreatment

Codename: Sylt
Veröffentlichungsdatum: 12.10.2016

Ab sofort stehen verinice und verinice.PRO in Version 1.13 zum Download zur Verfügung; der Bezug von verinice ist ab dieser Version nur noch über den verinice.SHOP möglich. 

ACHTUNG: Als Administrator eines verinice.PRO Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes!

Link-Table-Reports: Der In-Memory-Abfrageassistent

Mit dem neuen Abfrageassistenten erstellen Sie Ihre eigenen Abfragen direkt aus verinice heraus. Sie brauchen eine Liste aller Grundschutzmaßnahmen mit Bausteinen und Zielobjekten? Kein Problem. Oder eine Übersicht aller Assets mit Risikoszenarien und den jeweils Verantwortlichen? Ebenfalls mit wenigen Klicks erstellt.

Für jedes Objekt können Sie genau festlegen, welche Felder Sie in welcher Reihenfolge ausgeben möchten.

Alle Abfragen können im CSV-Format direkt nach Excel oder LibreOffice Calc übertragen und dort weiter bearbeitet werden. Mit den vertrauten Mechanismen Ihrer Tabellenverarbeitung können Sie somit alle Berichte sortieren, filtern und für die Verwendung von Charts benutzen.

Das Beste dabei: Sämtliche Abfragen – auch über komplexe Verknüpfungsstrukturen und tausende Objekte – werden rasend schnell und meist in wenigen Sekunden abgearbeitet.

Erreicht wird dies über eine eigens für diesen Zweck geschaffene, von verinice intern verwendete Abfragesprache: Die "verinice Query Language" (VQL). Auf Basis der Benutzereingaben erzeugt der Abfrageassistent zunächst eine passende VQL-Abfrage. Diese wird in ein Graphenmodell überführt, das nur diejenigen Teile der Datenbank in den Speicher lädt, die für die Beantwortung der Abfrage benötigt werden. Dort wird dann die Ergebnistabelle komplett mit Hilfe der In-Memory-Repräsentation der Datenbank erzeugt und ausgegeben.

 

Neuerungen im Datenschutz

Das verinice.TEAM hat alle Felder für die Pflege der Verarbeitungsübersicht in verinice überarbeitet und an die aktuelle Gesetzeslage sowie an die zu erwartenden Änderungen durch die EU-Datenschutz-Grundverordnung (EU-DSGVO) angepasst.

  

In Kürze veröffentlichen wir passend dazu auch eine Beispieldatenbank mit wertvollen Inhalten für die Pflege der Verarbeitungsübersicht sowie der technisch-organisatorischen Maßnahmen.

Mehr Sicherheit

An gleich mehreren Stellen haben wir zusätzliche Sicherheitsmaßnahmen eingeführt. 

Verschlüsselte Datenbankexporte im VNA-Format enthalten nun einen individuellen Salt um Wörterbuchattacken zu erschweren. Bislang kam für mehrere Dateien derselbe Salt zum Einsatz. VNA-Dateien der V 1.13 sind dadurch nicht mehr abwärtskompatibel zu Vorgängerversionen. Konkret heißt das: Ein mit verinice 1.13 erstellter, verschlüsselter Export lässt sich mit verinice 1.12 nicht mehr einlesen.

Die Erzeugung von Reports findet nun in einer Sandbox statt, so dass mögliche Aktionen während der Reporterzeugung einschränkt sind. Falls Sie selbst erstellte Reports verwenden, die gegen die nun strengeren Sicherheitsbeschränkungen verstoßen, können Sie diesen Mechanismus in den Einstellungen abschalten. Da Report-Templates potentiell schädlichen Programmcode enthalten können (ähnlich zu Word-Dateien mit Makros), sollten Sie in jedem Fall Report-Templates nur aus vertrauenswürdigen Quellen verwenden.

verinice.PRO hat eine zusätzliche Sicherheitsschicht erhalten, welche die Verwendung von Services mit dem Profil des Nutzers abgleicht und ggf. unberechtigte Zugriffe auf Programmfunktionen untersagt.

 

Verknüpfungen zwischen Grundschutz- und ISM-View

Per Drag-and-Drop lassen sich nun zwischen Objekten des Grundschutzmodells und des ISM-Modells Verknüpfungen anlegen, soweit die entsprechende Verknüpfung im Datenmodell definiert ist. So kann man nun zum Beispiel zu Grundschutz-Maßnahmen die zugehörige Richtlinie im ISM-View als Objekt anlegen, das tatsächliche PDF-Dokument als Dateianhang hinzufügen und die Richtlinie mit sämtlichen zugehörigen Grundschutzmaßnahmen verknüpfen.

Fehlende Verknüpfungsmöglichkeiten lassen sich wie immer individuell als Customizing der in XML festgelegten Objektdefinitionen hinzufügen.

 

Benutzerdefinierte Bausteine: Drag-and-Drop 

In benutzerdefinierte Bausteine können jetzt Maßnahmen und Gefährdungen aus dem IT-Grundschutzkatalog einfach per Drag-and-Drop hinzugefügt werden.

Risikoanalysen: Kopieren-und-Einfügen

Risikoanalysen im IT-Grundschutz lassen sich jetzt einfach über Kopieren und Einfügen duplizieren. Dabei wird nicht nur das Endergebnis kopiert sondern auch sämtliche Zwischenschritte des Risikoanalyse-Wizards.

So lassen sich bestehende Risikoanalysen nun schnell als Grundlage für ähnliche Zielobjekte wiederverwenden. Nach wie vor besteht die mit verinice 1.12 eingeführte Möglichkeit, Risikoanalysen über den VNA-Export zu kopieren und auch an Kollegen zu verschicken.

 

GSTOOL-Import

Kleinere Verbesserungen im GSTOOL-Import: Die ID und Kapitelnummer von Gefährdungen aus benutzerdefinierten Bausteinen sowie die Kritikalitätsstufen von Netzverbindungen werden nun stets korrekt eingelesen.

Suchansicht: Drag-and-Drop

Objekte in Suchergebnissen können nun direkt per Drag-and-Drop zum Anlegen von Verknüpfungen verwendet werden. Die Mehrfachselektion wird dabei natürlich unterstützt. So können Sie z.B. zunächst nach Szenarien zum Thema "Compliance" suchen und alle relevanten Szenarien auf einmal mit dem passenden Asset verknüpfen.

 

Kopieren von Dateianhängen bei Objekten

Wahlweise können nun beim Kopieren von Objekten auch alle Dateianhänge kopiert werden. Dieses Verhalten können Sie über die Einstellungen nach Wunsch festlegen.

verinice.PRO: KIX4OTRS Anbindung

In Zusammenarbeit mit der C.A.P.E. IT GmbH hat das verinice.TEAM zusätzliche Datenfelder in verinice vorgesehen, die für eine Kopplung zwischen verinice.PRO und KIX4OTRS verwendet werden können.

Durch eine Anbindung des ISMS-Tools verinice an das Service-Management-Tool KIX4OTRS lassen sich Anforderungen an eine Workflow-Integration abbilden. So können etwa OTRS-Tickets um Informationen zur Bearbeitung von verinice-Objekten angereichert werden. Bei erfolgreicher Bearbeitung eines Tickets lassen sich die veränderten Informationen direkt in der verinice-Datenbank speichern.

Ebenso interessant ist für viele Anwender eine Übertragung von Configuration Items aus KIX4OTRS in die verinice Asset-Datenbank. Für konkrete Integrationsprojekte stehen Ihnen SerNet und C.A.P.E IT gern mit Rat und Tat zur Seite.

 

verinice.PRO: Einfachere Konfiguration für Greenbone GSM

Die Anbindung von verinice.PRO an die Schwachstellen-Scanner von Greenbone / OpenVAS ist mit verinice 1.13 einfacher und nun Bestandteil der normalen Konfigurationsdatei. Genauere Hinweise finden Sie in der Update-Anleitung für verinice.PRO.

verinice.PRO: Neuer REST-Webservice 

Über eine neue REST-Schnittstelle ist es nun für Entwickler möglich, Daten vom verinice.PRO-Server über das Netzwerk programmatisch auszulesen. Dadurch werden vielfältige neue Möglichkeiten zur Integration von verinice.PRO an andere Software-Tools geschaffen. Selbstverständlich unterliegen sämtliche Anfragen auch über diese neue Schnittstelle den bestehenden Authentifizierungs- und Autorisierungsmechanismen.

verinice.PRO: AD-/LDAP-Anmeldung für Nutzergruppen

Die Anbindung an Verzeichnisdienste für die Nutzeranmeldung unterstützt jetzt auch die kombinierte Abfrage von Accounts in unterschiedlichen Gruppen.

Komfort-Verbesserungen

Das verinice.TEAM hat für verinice 1.13 wieder über 100 Fehler behoben und kleinere Verbesserungsvorschläge unserer Anwender umgesetzt. Viele davon steigern den Anwendungskomfort. U.a. haben wir im Account-Gruppen-View einen Button ergänzt, der nun auch von dort das direkte Bearbeiten von Accounts ermöglicht. Außerdem haben wir die Sortierung deutscher Umlaute in der Baumdarstellung sowie im Reporting verbessert. Die ISM-Risikoanalyse trägt jetzt korrekte Werte in alle Objekte ein, selbst wenn der ausführende Nutzer keine Schreibrechte auf verknüpften Objekten besitzt.

Sicherheitshinweis für verinice.PRO Administratoren

In bisherigen verinice-Versionen enthielt das Profil "Scope-only-admin" standardmäßig die Berechtigungen zum Ändern von Nutzerprofilen und Account-Einstellungen. Dadurch konnte ein Administrator, der auf einen bestimmten Scope beschränkt war, sich selbst weitere Rechte vergeben und damit seinen Zugriff erweitern.

Ab V 1.13 enthält das o.g. Standardprofil diese Berechtigungen sowie fünf weitere nicht mehr. Falls Sie das Profil ohne es zu veränderen benutzen, werden diese Änderungen automatisch aktiv. Falls Sie das Profil selbst bearbeitet haben, müssen Sie die entsprechenden Aktionen von Hand entfernen, soweit nicht bereits geschehen.

Die entfernten Aktionen sind:

  • Account-Einstellungen bearbeiten
  • Berechtigungsprofile bearbeiten
  • GSTOOL: Notizen-Import
  • GSTOOL-Import
  • LDAP-Import
  • Alle Aufgaben anzeigen

Geänderte Property-Dateien

Einfache Konfiguration des Greenbone Security Manager (GSM) Imports 

  • veriniceserver/WEB-INF/veriniceserver-plain.properties[-default|local]
    • Neu: veriniceserver.gsmGenerator.enabled=false
    • Neu: veriniceserver.gsmGenerator.cron=0 5 3 * * ?
    • Die auskommentierten und veralteten MySQL JDBC Properties wurden entfernt

Verschiedene Erweiterungen, z.B. Datenschutz und KIX

  • SNCA.xml, snca-messages.properties, snca-messages_de.properties

Absicherung der Services auf dem Server

  • veriniceserver/WEB-INF/web.xml

ElasticSearch-Konfiguration

  • veriniceserver/WEB-INF/classes/sernet/verinice/search/analysis_de.json
  • veriniceserver/WEB-INF/classes/sernet/verinice/search/analysis_en.json
  • veriniceserver/WEB-INF/classes/sernet/verinice/search/mapping.json

 

Rechteprofile

  • veriniceserver/WEB-INF/verinice-auth-default.xml

LDAP-Authentifizierung

  • veriniceserver/WEB-INF/verinice-ldap.properties

verinice Codename: Piha
Veröffentlichungsdatum: 17.02.2016

Ab sofort steht die neue Version 1.12 von verinice und verinice.PRO zum Download zur Verfügung. Diese Version beinhaltet folgende Neuerungen und Verbesserungen:

Noch mehr GSTOOL-Import

verinice 1.12 bietet einen nochmals erweiterten GSTOOL-Import. Ab sofort werden auch benutzerdefinierte Typen und Subtypen aus dem GSTOOL nach verinice übertragen. Für die Zuordnung der Typen existiert nun ein eigener View. Diese Funktion können Sie sich in einem kurzen Video im verinice-YouTube-Channel genauer ansehen.

Zudem werden nun alle Kombinationen aus benutzerdefinierten und individualisierten Maßnahmen und Bausteinen aus dem GSTOOL übertragen, ebenso referenzierte Bausteine bei IT-Verbünden. Probieren Sie gern den GSTOOL-Import mit Ihrer eigenen Datenbank aus – das verinice.TEAM freut sich über Ihr Feedback!

Risikoanalyse nach BSI 100-3

Der Wizard für die Risikoanalyse nach BSI 100-3 ist gründlich überarbeitet und dabei alle Verbesserungsvorschläge von Anwendern berücksichtigt. Fehler beim Auswählen von Maßnahmen und Gefährdungen sind beseitigt. Die Beschreibung der selektierten Maßnahme oder Gefährdung wird nun jederzeit vollständig angezeigt und erleichtert dadurch die Auswahl. Zeitgleich hat der zugehörige Report "A.6 Risikoanalyse" einige Layout-Verbesserungen bekommen.

VNA-Export von Risikoanalyse nach BSI 100-3

Viele Anwender haben diese Funktion wiederholt angefragt: Die Risikoanalysen nach BSI 100-3 sind nun vollständig in einem VNA-Export enthalten. Somit können auch die Risikoanalysen zwischen zwei verinice-Installationen ausgetauscht werden.

Zeitgleich veröffentlichen wir in unserem Content-Bereich eine VNA-Datei, mit der die Elementaren Gefährdungen (G.0) des BSI einmalig importiert und danach in jeder Risikoanalyse verwendet werden können.

Personenreferenzen in VNA-Export enthalten

Genau wie Risikoanalysen sind nun auch alle Personenreferenzen aus der IT-Grundschutzansicht in den VNA-Exporten enthalten.

Neue Greenbone-GSM Perspektive

Eine neue Perspektive erleichtert den Einstieg in die Kopplung von verinice mit dem Schwachstellen-Scanner Greenbone GSM (OpenVAS) und eröffnet Zugang zu vielen damit verbundenen Vorteilen. Zwei Tutorials erklären Schritt-für-Schritt, wie man die Ergebnisse eines Scans in verinice importieren und dort weiter verarbeiten kann.

Im Grundschutz erleichtert der Scan einige Schritte der BSI-Vorgehensweise: in der Strukturanalyse werden gescannte Systeme automatisch als Zielobjekte angelegt. Danach kann die Bausteinmodellierung basierend auf den vorgefundenen Software-Komponenten automatisch angestoßen werden. Zu guter Letzt erfolgt sogar ein Basis-Sicherheits-Check anhand des festgestellten Umsetzungsstatus von technischen Maßnahmen.
In der ISM-Ansicht können gefundene Systeme und Schwachstellen zur Berücksichtigung im Rahmen der Risikoanalyse importiert und direkt verwendet werden. Die Objekte sind dafür bereits passend miteinander verknüpft. Mit verinice.PRO geht es dann noch deutlich darüber hinaus: ein eigener Workflow hilft beim Zuweisen von Verantwortlichen und Beheben der Schwachstellen im laufenden Betrieb. Ein intelligenter Abgleich sorgt dafür, dass auch bei wiederholten Scans keine doppelten Tasks erzeugt werden. Gleichfalls werden nur wirklich behobene Schwachstellen auch aus der Risikodatenbank entfernt.

verinice.PRO: Beschleunigung der Volltextsuche in AD-Umgebungen

Die Verwendung der AD- oder LDAP-Authentifizierung für einen verinice.PRO Server, verlangsamte bisher die Suche deutlich. Dieses Problem ist gelöst, so dass nun auch diese Anwender die volle Performance der verinice-Such-Engine nutzen können.

Die gläserne Produktion (GIT-Umstellung)

verinice-Quellcode ist und bleibt Open Source! Die Entwicklung ist nun noch einmal ein gutes Stück transparenter geworden. Ab sofort ist der gesamte verinice-Entwicklungsfortschritt auch auf der Plattform Github sichtbar. Wer dem verinice-Team bei der Arbeit zuschauen möchte, kann das ab sofort im verinice-Repository tun.

Alle Änderungen im Detail listet zum Beispiel die folgende Seite auf: https://github.com/SerNet/verinice/commits/develop

Für Nicht-Techniker sind die grafischen Auswertungen interessanter, zum Beispiel die Darstellung der Verzweigungen im Quell-Code während der Entwicklung.

Detailverbesserungen und Fehlerkorrekturen

Wieder enthält verinice viele weitere kleine Verbesserungen und Korrekturen. Insgesamt wurden über 80 Vorgänge für diesen Release bearbeitet, hier eine Auswahl der wichtigsten Änderungen:

  • Behoben wurde ein Fehler, der ein leeres Grundschutz-Modellfenster direkt nach dem Start verursachte.
  • In Version 1.11 wurde ein Fehler eingeführt, der es ermöglichte Relationen in der falschen Richtung anzulegen (z.B. "Dokument ist Autor von Person"). Version 1.12 beseitigt diese Möglichkeit wieder. Zudem werden alle falsch angelegten Relationen automatisch beim Update repariert, indem die Richtung der Relation falls nötig korrigiert wird.
  • Der verinice-Client verwendet nun das Oracle Java Runtime Environment (JRE) 8.
  • Grundschutz-Inhalte werden nun unabhängig vom Öffnen des Katalog-Views geladen. Bislang entstanden Probleme, wenn andere Funktionen auf nicht geladene Grundschutzkataloge zugreifen wollten.
  • Lese- und Schreibberechtigungen für neu angelegte Risikoanalysen werden nun vom übergeordneten Objekt geerbt, wie bei allen anderen Objekten.
  • LTR-Report (Dataset zur Verwendung im vDesigner): Warf eine Fehlermeldung aus, wenn nur ein Element auf der obersten Ebene vorhanden war.
  • LTR-Report (Dataset zur Verwendung im vDesigner): Benutzt nun alle Relationstypen, wenn keine explizit angegeben sind.
  • Neuer Splash-Screen und neue Icons.
  • Validierungs-View sortiert nun die Elemente korrekt und aktualisiert sich bei Refresh.
  • Die Such-Indexierung konnte mehrfach gestartet werden, behoben.
  • Dateigröße wurde beim VNA-Webservice-Import nicht gespeichert, behoben.
  • Die Property "Dateigröße" ist nun read-only.
  • Datei-View: initialer Zustand des Buttons "Verknüpfen mit Editor" war falsch, behoben.
  • ISA-Konsolidator übertrug fälschlicherweise den Zielreifegrad von Controls, behoben.
  • Nutzerprofile: Deaktivieren der Suchfunktion deaktiviert nun auch das Toolbar-Icon und den Menüeintrag.
  • URLs zur verinice Webseite auf dem Willkommensbildschirm sind korrigiert.
  • Bei allen Grundschutzelementen wurde eine Validierungsregel ergänzt: Titel darf nicht leer sein.
  • Editoren von gelöschten Elementen werden nun immer geschlossen.
  • Der Passwortdialog prüft nun auf ungültige Zeichen in Passwörtern.
  • Daten für den View "Account-Gruppen" werden nun in einem Workspace-Job im Hintergrund geladen.
  • Relationen in der Auswahlliste sind nun alphabetisch sortiert.

Hinweise zum Update

Geänderte Konfigurationsdateien

  • veriniceserver-plain.properties[.default|.local]
    • veriniceserver.gsmGenerator.enabled=false
    • veriniceserver.gsmGenerator.cron=0 5 3 * * ?
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • veriniceserver-plain.xml
  • veriniceserver-jbpm.xml

Datenbankänderungen

  • Spalte "Beschreibung" in Tabelle OwnGefaehrdung wird auf (32672(derby), 400000(postgres), 4000(oracle)) Zeichen Länge umgestellt
  • Spalte "Description" in Tabelle Risikomassnahme wird auf (32672(derby), 400000(postgres), 4000(oracle)) Zeichen Länge umgestellt
  • Datenbankmigration: Durch den Fehler [http://bob.sernet.private:8180/browse/VN-1280 VN-1280] können bestehende DBs korrupte Verknüpfungen enthalten. Dazu wurde eine Datenbankmigration geschrieben (neue Version: 1.03D), die beim Update auf die neue Version (des Clients) durchgeführt wird und zu verlängerten Startzeiten führen kann (je nach Größe der Datenbank (alle existierenden Verknüpfungen werden auf Korrektheit (Richtung) geprüft)).

Codename: Sandy Beach

Veröffentlichungsdatum: 28. August 2015

Volltextsuche

Mit Version 1.11 erhalten verinice und verinice.PRO eine Suchfunktion, mit der Anwender jedes gesuchte Objekt in Bruchteilen von Sekunden finden. Die gesamte Datenbank wird dafür kontinuierlich indiziert, um diese Performance auch bei großen Datenbanken zu gewährleisten. verinice verwendet hierfür das OpenSource-Framework Elasticsearch. Diese - unter anderem auch von Wikimedia eingesetzte -Suchmaschine wurde vollständig in verinice und verinice.PRO integriert.

Die Suche wird in einem neuen View angezeigt, der auch mehrfach geöffnet werden kann. So können mehrere Suchen parallel durchgeführt und Ergebnisse verglichen werden.

 

Hinweis: Für die bestmögliche Indizierung sollte die Spracheinstellung des verinice.PRO-Servers bzw. des verinice-Standalone-Clients mit der Sprache der in verinice eingegeben Daten übereinstimmen.

Freie Spaltenauswahl

Die im Suchfenster angezeigten Spalten können individuell angepasst werden. Verinice merkt sich die nutzerspezifische Konfiguration der angezeigten Felder.

CSV-Export

Das angezeigte Suchergebnis kann als CSV-Datei exportiert werden. Damit lassen sich über die Suche gefundene Listen, z.B. von Maßnahmen oder anderen Objekten in Excel oder LibreOffice weiter auswerten.

GSTOOL-Import

Das verinice.TEAM hat umfangreiche Verbesserungen am GSTOOL-Import vorgenommen. Zahlreiche Felder wurden ergänzt und die Liste der Subtypen wurde erweitert, um auch aus den letzten verfügbaren Versionen des GSTOOL bzw. der Ergänzungslieferungen alle Informationsverbünde übernehmen zu können.

Unterstützung für große GSTOOL-Datenbanken

Mit verinice wurden bereits einige der größten GSTOOL-Datenbanken Deutschlands mit jeweils Hunderten von Informationsverbünden übernommen. Dank erheblicher Verbesserungen in Geschwindigkeit und Speicherverbrauch übernimmt verinice auch solche GSTOOL-Datenbanken (mit Größen von 1 Gigabyte und mehr) nun "in einem Rutsch". Alle Zielobjekte werden korrekt den jeweiligen Informationsverbünden zugeordnet. Bausteine und Bausteinreferenzen werden korrekt angelegt. verinice behandelt dabei auch selten vorkommende Randfälle, die andere Tools ins Stolpern bringen.

Risikoanalysen

Ab Version 1.11 kann verinice die sogenannten "Ergänzende Sicherheitsanalysen" und Risikoanalysen nach BSI 100-3 aus dem GSTOOL nach verinice überführen.

Maßnahmen und Gefährdungen werden übertragen, Zwischenschritte werden korrekt in den verinice-Wizard für Risikoanalysen nach BSI 100-3 übernommen. Dadurch kann jeder einzelne Schritt der importierten Risikoanalyse später nachvollzogen und auch jederzeit erneut bearbeitet werden: von der Gefährdungsübersicht über die Gefährdungsbewertung bis hin zur Risikobehandlung.

Die einzelnen Zwischenschritte zu erhalten ist zwingende Voraussetzung, um einen standardkonformen Bericht als Referenzdokument A.6 erzeugen zu können. verinice erzeugt diesen Bericht auch mit den importierten Daten auf Knopfdruck.

Waisenkinder

verinice behandelt nun den Fall korrekt, dass ein Zielobjekt selbst keinem einzigen IT-Verbund zugeordnet ist, aber von anderen Zielobjekten aus referenziert wird. Auch in diesem Fall werden alle Objekte und Beziehungen zwischen ihnen korrekt abgebildet, um Schutzbedarfsvererbung und alle andere Mechanismen zu gewährleisten.

Personenverknüpfungen

Alle mit Maßnahmen und Bausteinen verknüpften Personen (Befrager, Interviewpartner, Umsetzungsverantwortliche...) werden korrekt als Referenzen in verinice übernommen.

Neues Report-Template

Eine neues Template vereinfacht das Erzeugen von Reports mit verknüpften Elementen im vDesigner.

VDA ISA Version 2.1.3

verinice enthält nun die aktualisierte Version 2.1.3 des VDA ISA-Fragenkatalogs.

Objektbrowser

Der Objektbrowser reagiert nun auf Selektionen von Verknüpfungen - dadurch lassen sich z.B. miteinander verknüpfte Controls besser navigieren.

OpenJDK 7 auf dem Server

verinice.PRO verwendet nun das von RedHat supportete OpenJDK 7.

Detailverbesserungen und Fehlerkorrekturen

verinice 1.11 bringt wieder viele Detailverbesserungen mit und korrigiert Bugs:

  • Das Layout des Account-Gruppen-View wurde verbessert.
  • Alle Titelfelder haben eine optional einschaltbare Validierungsregel, die Objekte ohne Titel markiert.
  • Im Dialog "Neue Verknüpfung" kann nun direkt der gewünschte Verknüpfungstyp ausgewählt werden.
  • Der Button "Multiuser" heißt nun "Server", um mit der sonstigen Wortwahl übereinzustimmen.
  • Beim Hinzufügen von Dateianhängen merkt verinice sich nun den zuletzt verwendeten Ordner.
  • GSM-Import: Szenarien und Schwachstellen, die von OpenVAS oder Greenbone GSM importiert wurden, werden nun farbig je nach Schweregrad markiert.
  • Eine fehlende Schreibberechtigung auf dem Report-Template-Ordner wird nun bemerkt und als Fehlermeldung angezeigt.
  • Der ISA-Konsolidator überschreibt nun nicht mehr die ISA-Versionsnummer.
  • Der Objektbrowser wird nun in allen Perspektiven standardmäßig mit angezeigt.
  • Das Release für Mac OS X wird jetzt mit der aktuellsten Version der Java Runtime Envrionment 7 von Oracle ausgeliefert (das von Apple für OS X ausgelieferte Java 6 Paket muss dennoch installiert sein, damit verinice in OS X startet, obwohl es nicht verwendet wird).

Hinweise zum Update

Geänderte Konfigurationsdateien

web.xml

  • classpath:sernet/gs/server/spring/veriniceserver-search-base.xml
  • classpath:sernet/gs/server/spring/veriniceserver-search.xml

veriniceserver-plain.properties[-default|local]

  • veriniceserver.search.index.directory=/WEB-INF/elasticsearch/
  • veriniceserver.search.indexingOnStartup=true
  • verinice-auth-default.xml, WEB-INF/verinice-auth-messages[_de].properties
  • springDispatcher-servlet.xml
  • veriniceserver-common.xml
  • veriniceserver-daos-common.xml
  • veriniceserver-plain.xml
  • veriniceserver-security.xml
  • veriniceserver-search*.xml (neu)

Codename: Tres Palmas

Veröffentlichungsdatum: 29. Mai 2015

Wichtiger Hinweis für das Update: Wegen der nötigen Datenmigration kann der erste Start des verinice-Clients nach dem Update etwas länger dauern als üblich. Dies ist kein Grund zur Beunruhigung. Weitere Hinweise finden Sie unter dem Punkt "Anzeige der Dateigröße im File-View". 

Englische IT-Grundschutzkataloge

Der vollständige Text der IT-Grundschutzkataloge des BSI ist ab verinice 1.10 auch in englischer Sprache verfügbar. Dies vereinfacht die Arbeit mit dem IT-Grundschutz in internationalen Teams.

Auch für Anwender der nativen ISO 27001:2013 ist der umfangreiche Gefährdungs- und Maßnahmenkatalog von erheblichem Nutzen: Bei einer Risikobewertung und Risikobehandlung können die Grundschutzkataloge als Datenbank zu speziellen Themen von Windows bis SAP zum Einsatz kommen.

Alle Gefährdungen lassen sich als Szenarien in eigenen Risikoanalysen verwenden. Per Drag-n-Drop können die gewünschten Gefährdungen oder ganze Bausteine in das Risikomodell gezogen werden.

Ebenso kann bei der Risikobehandlung auf die über 1.000 Grundschutzmaßnahmen zurückgegriffen werden. Als spezielle Controls ergänzen sie die generischen Vorgaben der ISO/IEC 27002:2013. Auch die Controls lassen sich einfach per Drag-n-Drop in das ISM-Risikomodell einfügen.

Die englischen IT-Grundschutzkataloge sind auf dem Stand der 13. Ergänzungslieferung des BSI. Für die Unterstützung bei der Bereitstellung der englischen Grundschutzkataloge bedanken wir uns bei unserem verinice.PARTNER Alexander von Ossowski.

Update auf VDA ISA 2.x

verinice V 1.10 unterstützt vollständig die Neuauflage des VDA IS-Assessment in der Version 2.x. Neben dem eigentlichen Katalog wurden auch die Methode zur Berechnung der Durchschnittswerte sowie der "Total Security Figure" angepasst. 

Der ausgegebene Report stellt im Spinnennetzdiagramm den erreichten Reifegrad und den Zielreifegrad zu jedem Kapitel dar, unter Berücksichtigung aller als "N.A." markierten Fragen.

Anwender von verinice sind somit absolut konform zum VDA-Standard. Zudem
ermöglicht ein Konsolidator die Übernahme von Assessment-Ergebnissen, die nach
dem VDA 1.x Standard erfolgt sind. Verschiebungen von Controls etc. werden
dabei korrekt berücksichtigt.

Anzeige der Dateigröße im File-View

Der File-View zeigt nun zu allen Attachments auch die Dateigröße an. Dies erleichtert z.B. das gezielte Aufräumen bei einer größer werdenden Datenbank.

Hinweis: Nach dem Update auf V 1.10 werden diese Informationen in der Datenbank ergänzt. Das Update wird bei der ersten Verbindung eines verinice-Clients zur Datenbank ausgelöst. Je nach Anzahl der vorhandenen Dateianhänge kann der Start des ersten verinice-Clients nach dem Update einige Sekunden bis zu mehreren Minuten in Anspruch nehmen. Wir empfehlen daher, unmittelbar im Anschluss an das Server-Update einen Client-Start durchzuführen, damit das Update vor der ersten regulären Benutzeranmeldung abgeschlossen ist. Der Vorgang wird nur ein einziges mal durchlaufen.

Exklusive Features von verinice.PRO

Single-Sign-On mit Active Directory

Auf Windows-Clients unterstützt verinice.PRO nun Single-Sign-On: der im
System angemeldete Benutzer wird automatisch für den Login am verinice.PRO
Server verwendet. Eine erneute Eingabe von Benutzername und Passwort entfällt.

Der bisherige Anmeldemechanismus mit erneuter Angabe von Benutzer und Passwort steht wahlweise weiterhin zur Verfügung, falls Sie z.B. in verinice mit einem anderen als dem unter Windows angemeldeten Benutzer arbeiten möchten.

Import von Personen aus AD in die Grundschutzansicht

Beim AD-Import kann nun ausgewählt werden, ob die importierten Personen und
Accounts im ISM- oder im Grundschutz-Modell angelegt werden sollen.

Optimierung der Aufgabenansicht

Der Aufgaben-View wurde verbessert: Aufgaben werden schneller geladen, ein
Suchformular ermöglicht das Auffinden spezieller Aufgaben. Aufgaben können nach
Gruppe, Bearbeiter, Prozess, Aufgaben-Typ, Start- und End-Termin gesucht
werden.

Detailverbesserungen und Fehlerkorrekturen

Kleinere Verbesserungen und eine Vielzahl behobener Fehler an diversen Stellen runden das Update auf V 1.10 ab. Erwähnenswert sind z.B.:

  • Im Web-Frontend für Aufgaben kann nun der Volltext von Grundschutz-Maßnahmen angezeigt werden. Das erleichtert das Delegieren beim Basissicherheits-Check sowie bei der Maßnahmenumsetzung.
  • Die lokale Report-Ablage auf dem verinice-Client funktioniert nun wie vorgesehen.
  • Die Bausteinzuordnungen, Personenzuordnungen und Zielobjekte-Typen beim GSTOOL-Import wurden korrigiert.
  • Das Vererben von Custom-Icons an untergeordnete Objekte kann nun an- oder abgeschaltet werden.
  • Beim Verschieben von Objekten kann ausgewählt werden, ob die Zugriffsrechte des Zielordners für das verschobene Objekt übernommen werden sollen.
  • Beim Doppelklick auf ein Attachment im File-View wird in der Baumdarstellung nun das zugehörige Objekt selektiert.
  • In der Account-Anzeige wird nun angezeigt: "Nachname, Vorname [Account]"
  • In der Account-Gruppenanzeige werden in der Gesamtliste nicht wie bisher alle Accounts angezeigt, sondern nur noch diejenigen, die nicht in der gewählten Gruppe enthalten sind. Das erleichtert die Suche nach nicht-zugeordneten Accounts.
  • Die kundenspezifische Customizing-Datei ("SNCA.xml") wird nun beim Update nicht mehr verschoben sondern bleibt in Betrieb. Achtung: Bitte beachten Sie nach wie vor die Update-Anleitung zum Umgang mit Konfigurationsdateien!

Hinweise zum Update

Geänderte Konfigurationsdateien

Ordner: WEB-INF

  • SNCA.xml, snca-messages.properties, snca-messages_de.properties 
    Erweiterung der Assets-Properties für die Risikowerte mit geplanten Controls (alle Controls, die nicht Status "N.a." tragen)
  • veriniceserver-plain.propertiesveriniceserver-plain.properties.default

Ordner: WEB-INF/classes/sernet/gs/server/spring

  • veriniceserver-common.xml
  • veriniceserver-jbpm.xml

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.

Datenbankänderungen

Migration auf DB-Version 1.01 bzgl. Filesize-Property (siehe den Punkt "Anzeige der Dateigröße im File-View").

Ankündigung: verinice 1.11 schon in Kürze

Bereits in zwei Monaten wird das verinice.TEAM voraussichtlich die nächste verinice-Version veröffentlichen: V 1.11 

Eine indizierte Volltextsuche über sämtliche Elemente in der Datenbank wird wesentliche Neuerung der V 1.11 sein. Dieses nützliche Feature möchten wir so bald wie möglich für unsere Anwender verfügbar machen, darum haben wir uns für eine zeitnahe Veröffentlichung entschieden.

Codename: Tavarua

Neu in diesem Release

Ab sofort steht verinice in der Version 1.9 zum Download bereit. Die Neuerungen im Überblick:

  • VDA ISA Standard 2.0
    In verinice 1.9 ist der neue IS-Assessment Katalog des Verbands der Automobilindustrie (VDA) enthalten. Der Standard wurde grundlegend überarbeitet und an die neuen Vorgaben des aktualisierten Standards ISO 27001:2013 angepasst.
    Durch die spezielle Konsolidatorfunktion können existierende Reifegrade in die neue Kapitelnummerierung übertragen werden. Bestehende Assessment-Ergebnisse können verwendet werden und Nutzer müssen nicht gänzlich von vorn beginnen. Für den Endanwender soll so der Aufwand für das Update und für die Neubewertung soweit wie möglich reduziert werden.
    Alle Änderungen fanden in engem Kontakt mit den Autoren des ISA-Kataloges im entsprechenden Arbeitskreis des VDA statt, so dass die Konformität zum Fragebogen 100% gewährleistet ist.
  • Accountverwaltung (verinice.PRO)
    Ein vollständig neue Benutzer- und Gruppenverwaltung erleichtert das Erstellen und Pflegen des Berechtigungskonzepts besonders für eine große Anzahl von verinice-Benutzern und -Gruppen.
  • Reportablage (verinice.PRO)
    In der mit verinice 1.9 neu eingeführten, zentralen Report-Ablage lassen sich die mit dem vDesigner selbst erzeugten Reports allen Anwendern des verinice.PRO-Servers einfach zur Verfügung stellen. Das zentrale Report-Repository wird vom Client abgeglichen und lokal zwischengespeichert, so dass alle Reports auch im Offline-Modus weiter zur Verfügung stehen. Zusätzlich können ausschließlich lokale Reports im Client hinterlegt werden - z.B. zum Testen oder für vertrauliche Auswertungen. Dabei werden lokale und Server-Reports in der Liste klar gekennzeichnet und unterschieden.
    Für jeden Report lassen sich die gewünschten und sinnvollen Ausgabeformate nun ebenfalls zentral vorgeben (DOC, XLS, PDF...).
    Die mit verinice mitgelieferten Standard-Reports lassen sich auf dieselbe Weise verwalten. So kann z.B. ein Standard-Report durch ein angepasstes Template ersetzt werden, wenn z.B. in allen Reports ein Firmenlogo verwendet werden soll u.ä.
  • Leichteres Ändern im Berechtigungsdialog (verinice.PRO)
    Ebenfalls überarbeitet wurde der Berechtigungsdialog für die Vergabe von Zugriffsrechten auf Objekte. Hier ist es nun leichter und komfortabler möglich, Lese- und Schreibrechte für einzelne Objekte oder Gruppen von Objekten zu setzen.

Hinweise zum Update

Unbedingt zu beachten:

Vor dem Update auf verinice 1.9 ist sicherzustellen, dass es keine Account-Gruppen gibt, die den gleichen Namen wie ein Login-Namen tragen. Ansonsten kann es zu schweren Konflikten kommen, die die Installation nach dem Update unbenutzbar und ein Rollback auf die alte Version zwingend notwendig machen. 

Neue Berechtigungsaktionen:

Eine detaillierte Beschreibung finden Sie im verinice.PRO Handbuch Kap. 13.5.

Neue Aktionen in dieser Version:

  • Reportablage Ansicht / Report Repository View: Erlaubt das Öffnen des Reportablage-Views
  • Report zu Ablage hinzufügen / Add Report to Repository: Erlaubt das Hinzufügen von Reporttemplates zur Reportablage
  • Report aus Ablage entfernen / Remove templates from Report Repository: Erlaubt das Entfernen von Reporttemplates aus der Reportablage
  • Report in Ablage editieren / Edit templates in Report Repository: Erlaubt das Verändern von bestehenden Reportablage Einträgen

Geänderte Konfigurationsdateien:

Ordner: WEB-INF

  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-standalone-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties
  • verinice-ldap.properties
  • web.xml

Ordner: WEB-INF/classes/sernet/gs/server/spring

  • springDispatcher-servlet.xml
  • veriniceserver-common.xml
  • veriniceserver-daos-common.xml
  • veriniceserver-daos-osgi.xml
  • veriniceserver-daos-plain.xml
  • veriniceserver-reportdeposit.xml
  • veriniceserver-reportdeposit-dummy.xml

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.

Codename: Florianópolis

Neu in diesem Release

Ab sofort steht verinice in der Version 1.8 zum Download bereit.

  • Generischer Workflow
    Wenn die Frist zur Umsetzung einer Aufgabe abgelaufen ist, verbleibt die Aufgabe beim Verantwortlichen. Der Initiator der Aufgabe erhält eine E-Mail mit dem Hinweis, dass die Frist abgelaufen ist. Der Verantwortliche kann im Workflow die Verlängerung der Frist beantragen. Der Initiator muss den Antrag prüfen und kann ggf. die Frist der Aufgabe verlängern. 
  • Löschen beim Import
    Beim wiederholten Importieren von Daten aus einer gleichen Quelle können Objekte in verinice gelöscht werden, wenn sie nicht mehr in den importierten Daten enthalten sind.
  • Lese-Berechtigungen im Aufgaben-View
    Im Aufgaben-View werden die Lese-Berechtigungen der Objekte beachtet.  Aufgaben werden nur dann angezeigt, wenn ein Benutzer auch das Objekt sehen darf, das mit der Aufgabe verknüpft ist. 
  • Lese-Berechtigungen im Datei-View
    Im Datei-View werden die Lese-Berechtigungen der Objekte beachtet. Dateien werden nur dann angezeigt, wenn ein Benutzer auch das Objekt sehen darf, an das die Datei angehängt ist.
  • Objektpfad im Verknüpfungs-View
    Im Verknüpfungs-View wird der Pfad vom verknüpften Objekt zum IT-Verbund bzw. zur Organisation als Tooltip angezeigt. 
  • CC- und BCC-Adresse für den Versand von E-Mails
    Auf dem Server kann optional eine CC- und BCC- Adresse eingetragen werden, die in alle E-Mails eingetragen wird, die verschickt werden.
  • Standardverzeichnis für Report-Vorlagen
    Der Report-Dialog speichert (wenn gewünscht) ein Verzeichnis aus dem Report-Vorlagen geladen werden.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-standalone-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties
  • veriniceserver-plain.properties, veriniceserver-plain.properties.default, veriniceserver-plain.properties.local

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Nazaré 

Neu in diesem Release

Ab sofort steht verinice in der Version 1.7.0 zum Download bereit.

  • ISO 27001:2013 / IT-Grundschutz 13. Ergänzungslieferung
    Für verinice 1.7.0 stehen die beiden Standards ISO/IEC 27001:2013 und IT-Grundschutz-Kataloge zur Informationssicherheit in der jeweils aktuellsten Fassung zur Verfügung. 
  • Direktimport für Dateistrukturen
    verinice kann nun ganze Teilbäume aus dem Dateisystem in die Datenbank in einer einzigen Aktion importieren. Ordnerstrukturen bleiben dabei enthalten, die Dateien werden als passende Objekte angelegt und gleichzeitig als Attachment importiert.
    Auf diese Weise lassen sich beispielsweise existierende Richtlinien oder Audit-Nachweise schnell und einfach in die Datenbank übernehmen.
    Der Import kann auch Verknüpfungen zwischen Objekten anlegen, um z.B: die Beziehung zwischen Richtlinien und den darin beschriebenen Controls abzubilden. 
  • Konsolidieren mit Verknüpfungen
    Eine neue Konsolidierungsfunktion für IS-Assessments ermöglicht es, existierende Audit-Ergebnisse auf z.B. Überwachungsaudits zu übertragen. Bestehende Verknüpfungen z.B. zu zentralen Richtlinien und anderen Objekten werden dabei berücksichtigt.
    Diese Funktion erleichtert das kontinuierliche Prüfen der Informationssicherheit durch die Übernahme vergangener Feststellungen und Nachweise als Startpunkt für ein neues Audit. 
  • Webservice zum Importieren von File-Attachments
    Dateianhänge können nun auch über den von anderen Tools ansprechbaren Web-Service automatisch importiert werden. Dadurch können zum Beispiel Report-Ergebnisses aus OpenVAS / Greenbone-GSM mitsamt den Original-Berichten als Referenz in der verinice Datenbank vollautomatisch angelegt werden. 
  • Meldeverfahren für Sicherheitsvorfälle
    Verinice unterstützt mit eigenen Eingabefeldern und neuen Reports die vorgeschriebene Meldung von Sicherheitsvorfällen für Bundesbehörden - konform zur allgemeine Verwaltungsvorschrift über das Meldeverfahren gemäß BSIG § 4 Abs. 6. Zwei neue Report-Templates können sofort eingesetzt werden:
    Die Sofortmeldung ist für kritische Sicherheitsvorfälle vorgeschrieben. Die statistische Gesamtmeldung kann in monatlich ausgeführt werden, um eine Zusammenfassung von Vorfällen nach Kriterien auszugeben.
    Natürlich kann das Verfahren der Bundesbehörden auch in anderen Organisationen als Beispiel für einen Meldeprozess dienen und verwendet werden.
    Eine Beispiel-Organisation zum Ausprobieren des Reports haben wir in unserem Forum bereitgestellt. 
  • Task Übersicht
    Ein neuer Report liefert für verinice.PRO-Anwender eine Übersicht über aktuell über Workflows vergebene Aufgaben im System. So wird der Bearbeitungszustand jeder Aufgabe, der Verantwortliche und Zeiträume sichtbar und das Nachverfolgen von in Bearbeitung befindlicher Aufgaben erleichtert.

Neue Berichtsvorlagen im verinice.FORUM

An dieser Stelle möchten wir auch auf einige Neuentwicklungen hinweisen, die wir für Sie vorab in unserem Forum veröffentlicht haben.

  • Datenschutz: Verarbeitungsübersicht (verinice.FORUM)
    In unserem Forum haben wir eine Report-Vorlage und Beispiel-Organisation zum Erstellen einer Verarbeitungsübersicht nach § 4g II i.V.m. § 4e BDSG bereitgestellt. Die entsprechenden Felder zur Pflege der Verfahren sind in verinice 1.7.0 vollständig enthalten. Funktionen für den Datenschutz werden wir in verinice weiter ausbauen. Für Ihr Feedback und ihre Anregungen sind wir Ihnen sehr dankbar! 
  • IT-Grundschutz Reportvorlage (verinice.FORUM)
    Für verinice.PRO-Anwender steht eine neue Vorlage für eigene IT-Grundschutz-Reports zur Verfügung. Diese enthält alle Objekte eines Informationsverbundes: Zielobjekte, Bausteine, Maßnahmen und verantwortliche Personen. Im vDesigner können damit schnell eigene Tabellen und Charts zur entlang der eigenen Bedürfnisse erstellt werden.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • veriniceserver-plain.properties.default ,veriniceserver-plain.properties, veriniceserver-plain.properties.local
  • veriniceserver-jbpm.xml
  • veriniceserver-plain.xml
  • veriniceserver-webservice.xml

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Pichilemu

Neu in diesem Release

Ab sofort steht verinice in der Version 1.6.3 zum Download bereit.

  • Kopieren mit Links
    Beim Kopieren von Objekten lassen sich jetzt auf Wunsch auch deren Verknüpfungen zu anderen Objekten kopieren. 
    Über diese Funktion können vollständige Teilbäume in der Baumansicht markiert und mit sämtlichen Verknüpfungen innerhalb des Teilbaumes sowie zu anderen Elementen dupliziert werden. 
    So lassen sich z.B. Vorlagen für Audits erstellen, deren Kopien dann ebenfalls mit zentralen Ressourcen (z.B. übergreifenden Richtlinien, verantwortliche Personen) verknüpft sind.
  • Scope-Anzeige in diversen Ansichten 
    Bei der Anzeige von verknüpften Objekten wird nun in einer neuen Spalte der jeweilige Geltungsbereich angezeigt. So lässt sich nun bei gleich lautenden Namen ("Mailserver") schneller das gewünschte Objekt identifizieren.
  • Java 7
    Das mit verinice ausgelieferte JRE ist nun die Version 1.7.0_25.
  • verinice.PRO: Neues RPM-Paket für die Benutzeranleitung
    Für verinice.PRO gibt es nun das neue Paket "verinicepro-manual".
    Nach der Installation ist auf der Intranet-Seite des verinice.PRO Servers die Benutzeranleitung über einen neuen Reiter abrufbar, und zwar als PDF-Download sowie als HTML-Seiten.
  • Diverse Verbesserungen
    • Der Import verbraucht jetzt deutlich weniger Speicherressourcen.
    • Zusätzliche Keyboard-Shortcuts stehen zur Verfügung.
    • Drag-and-Drop von Grundschutzmaßnahmen ist nun möglich.
    • Grundschutz-Bausteine werden im Verknüpfungsdialog angezeigt.
    • Der Report-Cache kann nun im Report-Dialog zurückgesetzt werden.
    • Das Verhalten für Default-Ordner im Report-Dialog haben wir verbessert.
    • In entsprechend gestalteten Reports ist eine Mehrfachauswahl für
      Scopes verfügbar.
    • Objekte sind nach dem Verschieben in bislang leere Gruppen sofort
      sichtbar.
    • Kompatibilität zu Java 8

Hinweis zum Ändern des Arbeitsverzeichnisses

Falls Sie in der Datei "verinice.ini" den Pfad für das Arbeitsverzeichnis von verinice verändert haben, beachten Sie bitte folgenden Hinweis:
Nach wie vor kann über den Parameter "-data" der Pfad für das Arbeitsverzeichnis ("Workspace") geändert werden. Standardmäßig wird hierfür der Ordner "verinice" in Ihrem Benutzerverzeichnis angelegt.
Wenn der Parameter entfernt wird, war das bisherige Verhalten, den Workspace im Installationsverzeichnis anzulegen. Ab sofort wird beim Weglassen des Parameters stattdessen das Heimatverzeichnis des Benutzers verwendet, unter Windows 7 also z.B.: "C:\Benutzer\<Benutzername>\workspace".
Um bei verinice 1.6.3 weiter das Installationsverzeichnis zu verwenden, ändern Sie bitte den Parameter in der Datei "verinice.ini" wie folgt:

 

 -data
 ./workspace

 

Hinweise zum Update

Geänderte Konfigurationsdateien
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • veriniceserver-plain.properties.default ,veriniceserver-plain.properties

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Saquarema

Neu in diesem Release

Ab sofort steht verinice in der Version 1.6.2 zum Download bereit.

  • Vulnerability Tracking mit Greenbone GSM und verinice
    Mit verinice und Greenbone / OpenVAS sind Sie bestens vorbereitet, wenn Ende des Jahres die ISO 27001:2013 veröffentlicht wird! Darin erfährt mit dem erweiterten Kapitel A.12.6 "Technical Vulnerability Management" sowie mit dem neuen Control A.18.1.3 "Technical Compliance Inspection" die Erkennung und Beseitigung von Software mit bekannten technischen Schwachstellen zusätzliche Bedeutung!
    Sie können Ihre Scan-Resultate aus Greenbone GSM / OpenVAS direkt in verinice importieren und dort im Rahmen Ihrer Risikoanalyse nutzen. Anwender des IT-Grundschutz profitieren vom neuen automatisierbaren Import des GSM IT-Grundschutz-Scans über den verinice-Webservice.
  • Workflow gestütztes Vulnerability Tracking und Patch-Management
    Mit verinice.PRO gehen Sie bei der Nachverfolgung von Schwachstellen noch weiter: kennen Sie auch das Problem, sich mit hunderten oder gar tausenden identifizierten Schwachstellen konfrontiert zu sehen, die Sie bewerten und nach Themen und Verantwortlichen aggregieren müssen? Können Sie die Behebung der gefundenen Schwachstellen noch überblicken, wenn Sie verteilte Verantwortlichkeiten - u.U. sogar weltweit - im Patch-Management zu berücksichtigen haben?
    Verinice.PRO bringt einen neuartigen Workflow speziell für diesen Zweck mit. Gefundene Schwachstellen werden in möglichst kompakte Gruppen für die jeweiligen Verantwortlichen verpackt, per Mailbenachrichtigung und Web-Frontend kommuniziert und die termingerechte Behebung durch die Workflow-Engine von verinice.PRO überwacht. Der konfigurierbare regelmäßig stattfindende Transfer von Scanner zu verinice bestätigt die Behebung der Schwachstellen als finale Instanz - oder deckt das nicht erfolgreiche Patchen einer angreifbaren Software auf.
  • Der verinice-Risikokatalog
    In unserem Webshop ist ab sofort der neue verinice-Risikokatalog erhältlich. Er erleichtert und beschleunigt die Durchführung einer Risikobewertung gem. ISO 27005 um ein vielfaches. Die Verwendung des Kataloges und die grundsätzliche Risikobewertungsmethodik in verinice zeigt unser neuer Screencast unter http://www.verinice.org/screencasts. Sowohl der Screencast als auch der Katalog sind vollständig in deutscher und englischer Sprache vorhanden.
    In der verinice.PRO Subskription ist selbstverständlich auch dieser Katalog bereits enthalten.
  • Das vernice.PARTNER Netzwerk
    Auf unserer neuen Seite partner.verinice.org finden Sie eine ab sofort stetig wachsende Liste erfahrener Berater, die bereits in mehreren abgeschlossenen Projekten unter Beweis gestellt haben, dass Sie verinice / verinice.PRO erfolgreich bei ihren Kunden zum Einsatz bringen und die gesetzten Ziele erreichen können. verinice.PARTNER unterstützen Sie je nach Qualifikation sowohl bei der fachlichen Durchführung ihres Informationssicherheitsprojekts / Audits als auch bei der Installation und Wartung ihrer verinice-Instanz.

  • Eingabeformulare berücksichtigen inhaltliche Abhängigkeiten
    Alle Eingabemasken von verinice unterstützen nun das Ein- und Ausblenden von Formularfeldern in Abhängigkeit einer vorherigen Auswahl. So werden z.B. die Felder für die Schutzbedarfsstufen ausgeblendet sobald der Benutzer das "Maximumprinzip" für die automatische Vererbung auswählt. Diese Abhängigkeiten finden sich nun an vielen Stellen und erleichtern die Übersicht und verbessern die Datenqualität.

 

Weitere erwähnenswerte Änderungen:

  • Neue Voreinstellung für Exporte: Re-Import Aus
    Beim Export ist nun die Option "Für Re-Import vorbereiten" nicht gesetzt. Wenn bezweckt wird, einen Export wieder zurückzuspielen muss diese Option nun also explizit gesetzt werden. Diese Entscheidung haben wir getroffen, weil die bisher immer gesetzte Import-ID und das daraus resultierende Synchronisierungsverhalten beim Import viele Anwender verwirrte.
  • Neue Voreinstellung für Accounts: Scope-Only Aus
    verinice.PRO: Die Voreinstellung beim Neuanlegen von Accounts ist nun, dass die Eigenschaft "Scopy-Only" *nicht* aktiv ist. Neue Benutzer sind nun also nicht auf einen Mandanten beschränkt, es sei denn man wählt dies aktiv aus. Diese Änderung haben wir vorgenommen, weil viele Benutzer nachfragten, warum sie trotz korrekt vergebener Berechtigungsgruppen keinen Zugriff auf die für Sie frei gegebenen Geltungsbereiche hatten. 
  • Bugfixes
    Verinice 1.6.2 behebt mehrere gemeldete Fehler bei der Reporterzeugung, bei der AD-Authentifizierung in Multi-Domain-Umgebungen, Fehler beim Löschen von Objekten, beschleunigtes Laden im Dialog zum Erstellen von Verknüpfungen, bei der Validierung von Eingaben und Textkorrekturen.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Mundaka

Neu in diesem Release

  • Icon-Auswahl
    verinice wird bunter - Anwender können nun aus einer breiten Palette von Icons auswählen um die besondere Bedeutung einzelner Objekte hervorzuheben. Egal ob bei Assets, Personen oder Dokumenten - für jeden Objekttyp stehen nun zahlreiche alternative Icons zur Verfügung.
  • Validierung
    verinice führt ab sofort in allen relevanten Formularfeldern eine Eingabevalidierung durch. Eine fehlgeschlagene Validierung wird sowohl durch eine Markierung des entsprechenden Feldes als auch in der neuen Validierungsansicht angezeigt. Diese listet alle Objekte mit Validierungsmeldungen in einer übersichtlichen Tabelle auf.
    Dadurch können Fehler entweder während der Eingabe direkt behoben oder zu einem späteren Zeitpunkt kollektiv korrigiert werden.
  • verinice.PRO: Trennen und Verbinden vom Server
    Die neue Funktion "Serververbindung trennen" öffnet einen Dialog, in dem Organisationen und IT-Verbünde ausgewählt werden können. Die ausgewählten Objekte werden in die lokale Derby-DB übernommen. Der Client wird beendet und im Standalone-Modus automatisch neu gestartet.
    Auf dieselbe Weise kann die Verbindung zum Server wiederhergestellt und die ausgewählten Objekte zurück synchronisiert werden. Dadurch ist ein komfortabler Wechsel zwischen dem Arbeiten im Online- und Offline-Modus möglich.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • web.xml
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Mullaghmore

Neu in diesem Release

  • Greenbone GSM Import: ab sofort können die Ergebnisse des Greenbone GSM Schwachstellenscanners nach verinice importiert und im Rahmen von Risikoanalysen oder zur Nachverfolgung der Behebung von Schwachstellen weiter verwendet werden.
  • Benutzerdefinierte Bausteine und Maßnahmen: eigene Bausteine und Maßnahmen können in der Grundschutz-Ansicht nun einfach über das Kontextmenü erzeugt werden. Über die Exportfunktion können diese Bausteine auch anderen Anwendern zur Verfügung gestellt werden.
  • Workflow: ab sofort können Anwender von verinice.PRO mit der neuen Workflow-Engine Aufgaben frei definieren, den Verantwortlichen zuweisen und die Bearbeitung verfolgen. Über diese neue Funktion sind frei definierbare Prozesse z.B. zur Umsetzung von Maßnahmen, der Bestimmung von Schutzbedarfsstufen, der Freigabe von Dokumenten und viele andere Abläufe realisierbar.
    Dokumente und andere Datei-Anhänge können an Aufgaben angehängt werden und mit diesen übergeben oder auch als Nachweise eingefordert werden.
    verinice.PRO überwacht die Umsetzungstermine und versendet bei Bedarf Benachrichtigungen und Erinnerungen per Email.
    Als besonders unterstützte Workflows sind zusätzlich die Funktionen "Fehler melden" sowie "ISA Audit Workflow" enthalten, die das einfache Sammeln und Bearbeiten von Feedback sowie die Durchführung interner Audits im Rahmen des ISMS-Prozesses ermöglichen.
  • Die Mac OS X Version ist jetzt voll funktionsfähig und verlässt den Beta-Status.
  • Bildvorschau für Anhänge: für alle als Attachment bei Objekten angehängten Bilder kann nun direkt in der Datei-Ansicht ein Vorschaubild angezeigt werden.
  • Kommentar für Verknüpfungen: Verknüpfungen zwischen Objekten können nun zusätzlich zum Verknüpfungstyp mit einem individuellen Kommentar versehen werden.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • veriniceserver-plain.properties

Diese Datei wird beim Update nicht aktualisiert. Die Datei aus der neuen Version wird gespeichert als veriniceserver-plain.properties.rpmnew

  • web.xml
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Eisbach

Neu in diesem Release

  • Der Export großer IT-Verbünden und Organisationen läuft schneller.
  • Das Webfrontend ist umgestellt auf neue Oberflächenelemente und ist dadurch kompatibel mit noch mehr Browser-Versionen. (verinice.PRO)
  • Wird beim Import die Option Integrieren ausgewählt, werden jetzt auch Verknüpfungen importiert (Bugfix)
  • Der allgemeine CSV-Import funktioniert wieder (Bugfix)
  • Beta: Im Webfrontend können jetzt in einer neuen Ansicht alle ISO 27000 Elemente bearbeitet werden (verinice.PRO)

Hinweise zum Update

Das Datenbankschema hat sich verändert. Das Update des Schemas wird von verinice automatisch durchgeführt.

Fehler in der Konfiguration

Es gibt einen Fehler in der Konfiguration auf dem Server. Betroffen sind nur Installation, bei denen die Authentifizierung auf ActiveDirectory bzw. LDAP umgestellt ist.

Bitte korrigieren Sie auf dem Server folgende Datei:

/usr/share/tomcat6/webapps/veriniceserver/WEB-INF/classes/sernet/gs/server/spring/veriniceserver-security-plain-ldap.xml

In Zeile 27 ersetzen Sie bitte /tedit/** durch /edit/**

Geänderte Bibliotheken auf dem verinice.PRO Server

Wenn der Server nicht mit Hilfe von RPM und YUM aktualisiert wird, müssen im Application-Server Tomcat Bibliotheken ausgetauscht werden.

Entfernt werden müssen die Dateien:

  • <TOMAT_HOME>/lib/jsf-api-1.2_12.jar
  • <TOMAT_HOME>/lib/jsf-impl-1.2_12.jar

Installiert werden müssen die Dateien im Ordner <TOMAT_HOME>/lib/:

Wenn RPM Pakete benutzt werden, werden die Bibliotheken automatisch ausgetauscht.

Geänderte Konfigurationsdateien

  • web.xml
  • faces-config.xml
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties
  • veriniceserver-common.xml

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Jeffreys Bay

Neu in diesem Release

  • ISA-Konsolidator: Die Ergebnisse bereits abgeschlossener IS-Assessments können in neue Audits übernommen werden.
  • Upload und Download von Dateianhängen im Workflow-Webfrontend (verinice.PRO)
  • Verkleinern, Vergrößern und Ausblenden des Verknüpfungsbereichs im Editor möglich
  • Nach dem Import können Objekte automatisch integriert werden.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • web.xml
  • verinice-auth-default.xml
  • verinice-auth-messages.properties
  • verinice-auth-messages_de.properties 

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Bells Beach

Neu in diesem Release

  • Alle Ansichten können mit dem aktiven Editor verknüpft werden. Wird ein Editor ausgewählt, so werden in den Ansichten Informationen über das zugehörige Objekt angezeigt.
  • Der Login-Name des angemeldeten Benutzers wird in der Titelleiste angezeigt (verinice.PRO).
  • VDA Information Security Assessment: Der Umsetzungsstatus von verknüpften Maßnahmen kann aus dem Reifegrad der Fragen abgeleitet werden.
  • Der Titel von Editoren wird nach dem Speichern aktualisiert, wenn er verändert wurde.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • SNCA.xml
  • snca-messages.properties
  • snca-messages_de.properties
  • verinice-auth-default.xml
  • verinice-auth-messages.properties
  • verinice-auth-messages_de.properties

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Teahupo'o

Neu in diesem Release

  • In verinice.PRO sind nun Benutzerprofile definierbar. 
  • Verbesserte Mandantenfähigkeit in verinice.PRO
  • Gefährdungen und Maßnahmen aus den IT-Grundschutz-Katalogen können auch für ISO 2700x als Controls und Szenarien verwendet werden.

Hinweise zum Update

Das Datenbankschema hat sich verändert. Das Update des Schemas wird von verinice automatisch durchgeführt. Dadurch kann das erste Starten der Anwendung nach dem Update länger dauern als gewöhnlich.

Geänderte Konfigurationsdateien

web.xml (Verz.: /usr/share/tomcat6/webapps/veriniceserver/WEB-INF/)

Beim Update wird diese Datei überschrieben. Falls die Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter dem Namenweb.xml.rpmsave. Nach dem Update müssen die Änderungen aus web.xml.rpmsave in die neue Version übernommen werden. Dieser Hinweis ist wichtig für alle Anwender, die die Authentifizierung auf Active Directory bzw. LDAP umgestellt haben.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Mavericks

Neu in diesem Release

  • Die Geschwindigkeit der Anwendung wurde an mehreren Stellen verbessert, z.B. bei Copy and Paste, beim Import und dem Speichern von Elementen.
  • Der Import aus dem GSTOOL wurde aktualisiert und verbessert und ist jetzt auch mit der Standalone-Variante möglich.
  • verinice-1.4.1 gibt es jetzt als Beta Version für Mac OS X.
  • Ausgabeformate für Reports: OpenDocument-Text und OpenDocument-Spreadsheet für OpenOffice und LibreOffice
  • Bausteine in der Grundschutzansicht können per Cut and Paste verschoben werden
  • ISO 27001 Reports: Statement of Applicability und Inventory of Assets
  • Ausführlicher Report für VDA Information Security Assessments (ISA)
  • Report Control Maturity mit Diagrammen
  • Überarbeitete BSI Grundschutz Reports
  • Alle ISO 27001 Elemente enthalten jetzt eine Property für externe Links.
  • Der ActiveDirectory Import Dialog wurde überarbeitet
  • Die Eclipse Rich Client Platform, auf der verinice aufbaut, wurde auf Version 3.7 aktualisiert.

Hinweise zum Update

Unter Umständen erscheint beim ersten Start nach dem Update eine Fehlermeldung. Starten Sie in diesem Fall verinice neu.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Ericeira

Neu in diesem Release

  • Report Ausgabeformate Word und Excel
  • Dateianhänge aller Elemente werden exportiert und importiert
  • verinice.PRO: Emailadressen von Benutzern werden aus dem ActiveDirectory importiert
  • verinice.PRO: Auch beim gleichzeitigen Zugriff von vielen Benutzern ist keine neue Anmeldung mehr erforderlich (Bugfix)
  • verinice.PRO: Zugriff unprivilegierter Benutzer auf Oracle Datenbanken ist wieder möglich (Bugfix)

Hinweise zum Update

Das Datenbankschema hat sich verändert. Das Update des Schemas wird von verinice automatisch durchgeführt. Dateianhänge, die gelöschten Objekten zugeordnet waren, werden dabei gelöscht.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Hossegor 

Neu in diesem Release

  • Verbesserung der Vererbung der Business Impact Werte für ConfidentialityIntegrity und Availability (Bugfix)
  • Der Import von Controls aus Katalogen in das Information Security Model per Drag and Drop ist wieder möglich (Bugfix)
  • Die Risikoanalyse nach ISO 27005 wurde verbessert (Bugfix)
  • Verbesserung der farblichen Markierung im Report Risikobewertung: Assets (Bugfix)
  • In den Editor-Einstellungen sind beim ersten Programmstart alle Eingabefelder ausgewählt. 
    Wichtig: Die Einstellungen müssen einmalig aktiviert werden. Wählen Sie im Menu: Bearbeiten -> Einstellungen... und danach im Dialog: Editor Einstellungen -> Anwenden

Hinweise zum Update

geänderte Konfigurationsdateien

(Bitte beachten Sie die allgemeinen Hinweise zum Update von Konfigurationsdateien.)

  • SNCA.xml
  • snca-messages.properties
  • snca-messages_de.properties

Codename: Waimea

Neu in diesem Release

  • Überarbeitete Reports, z.B. für Risk Treatment und Grundschutz-Referenzdokumente, teilweise mit Diagrammen
  • Neue Eingabefelder, z.B. für BCM
  • Automatische Zuordnung von Spalten beim CSV-Import
  • bessere Sortierung von Elementen in mehreren Auswahldialogen
  • zuschaltbare Anzeige von Ergebnissen für Security Assessments
  • Reports können für einzelne Audits ausgegeben werden
  • verinice.PRO: Benutzer können ausschließlich für Web-Zugriff, Rich.Client oder beides freigeschaltet werden
  • verinice.PRO: Anbindung und Import aus weiteren Directory-Diensten möglich (Open-LDAP, eDirectory...)
  • verinice.PRO: Anbindung an Active Directory nun auch über SSL
  • verinice.PRO: Überarbeitetes Layout für Webfrontend

Hinweise zum Update

geänderte Konfigurationsdateien

(Bitte beachten Sie die allgemeinen Hinweise zum Update von Konfigurationsdateien.)

  • verinice-ldap.properties
  • SNCA.xml
  • snca-messages.properties
  • snca-messages_de.properties
  • web.xml

LDAP

Die Datei verinice-ldap.properties im Ordner /usr/share/tomcat6/webapps/veriniceserver/WEB-INF/ hat sich verändert. Wenn sie verinice.PRO mit mit einem Active Directory oder LDAP Server verbunden haben, müssen sie nach dem Update alle Einstellungen aus der gesicherten alten Datei verinice-ldap.properties.rpmsave in die neue Datei übernehmen.

Wenn sie verinice.PRO mit mit einem Active Directory Server per SSL (Secure Channel) verbunden haben, müssen Sie in der Datei verinice-ldap.properties die Einstellung ldap.protocol=ldap umstellen auf ldap.protocol=ldaps.  

Deutsch English Lingua italiana Český jazyk
Contact us
Kontakt

Wir sind für Sie da

Unser Vertriebsteam hilft Ihnen gern bei allen Fragen zu verinice-Produkten und -Dienstleistungen der SerNet – persönlich und individuell auf Sie zugeschnitten.

Sie erreichen uns direkt telefonisch unter +49 551 370000-0.
Schicken Sie uns eine Mail an vertrieb@remove-this.sernet.de.

captcha
* Pflichtfelder
© SerNet GmbH, 2024