Release Notes

verinice im Laufe der Versionen

Codename: Sylt
Veröffentlichungsdatum: 19.12.2016

Ab sofort stehen verinice und verinice.PRO in Version 1.13.1 zum Download zur Verfügung; der Bezug von verinice ist ab dieser Version nur noch über den verinice.SHOP möglich. 

ACHTUNG: Als Administrator eines verinice.PRO Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes!

Business-Impact-Analyse nach BSI-IT-Grundschutz 100-4

Neuer, fester Bestandteil in verinice 1.13.1 ist die Abbildung der Business-Impact-Analyse nach BSI-Standard 100-4. Die Business-Impact-Analyse liefert Ihnen alle notwendigen Informationen über kritische Geschäftsprozesse und Ressourcen. Sie ergänzt die Risikoanalyse nach BSI-Standard 100-3, die Ihnen alle notwendigen Informationen über bestehende Risiken liefert, gegen die sich Ihre Organisation absichern sollte. verinice komplettiert damit die Unterstützung für sämtliche Standards des BSI-IT-Grundschutz.

Verbesserter Abfrageassistent

Die Benutzeroberfläche des Abfrageassistenten wurde weiter verbessert und intuitiver gestaltet. Nach Markieren einer Zeile kann diese nun direkt verschoben oder gelöscht werden.

Bei den Abfrageergebnissen werden jetzt Zellen mit sich wiederholenden Inhalten, wie z.B. Eltern-Elemente, ausgefüllt. Bei der weiteren Bearbeitung in Tabellenverarbeitungsprogrammen können Sie so einfach nach bestimmten Werten filtern und sortieren.
Um im verinice Report-Designer Abhängigkeiten zwischen mehreren Objekten aus unterschiedlichen Tabellen abbilden zu können (Verwendung von Datacubes), können nun auch Datenbank-ID's (Scope-, Parent-, UUID's) als Spalten ausgegeben werden.
Das verinice.TEAM hat zudem viele Detailverbesserungen implementiert, die die Arbeit mit dem Abfrageassistenten weiter vereinfacht.

Abfrageassistent für Datasets im verinice Report-Designer

Mit dem Update verinice 1.13.1 steht der Abfrageassistent inklusive graphischer Benutzeroberfläche jetzt auch im verinice Report-Designer zur Verfügung.

Generieren Sie intuitiv eigene Datasets mit dem Abfrageassistenten und präsentieren Sie die Daten aussagekräftig mittels einer vielfältigen Auswahl von Graphiken, Tabellen und weiteren Layoutelementen. Stellen Sie die Report-Templates allen Anwendern oder ausgewählten verinice-Nutzern rollenspezifisch zur Verfügung und ermöglichen Sie die Erzeugung standardisierter Reports im einheitlichen Layout auf Knopfdruck.

Abfragen können damit sowohl in verinice als auch im Report-Designer erstellt, gespeichert und geladen werden. Eine Basis - viele Einsatzzwecke!
Das verinice.TEAM wird ausgewählte Standard-Reporttemplates, wie z.B. die Referenzdokumente für den BSI-Grundschutz, in Kürze auf mit Abfrageassistenten generierten Datasets umstellen und die Erzeugung dieser Reports damit erheblich beschleunigen.

Der Report-Designer steht zudem ab sofort als Einzelplatzlösung zur Verwendung mit dem verinice-Client bereit und kann über den verinice-Shop bezogen werden. Anwender der verinice Einzelplatzlösung erhalten damit die Möglichkeit, Berichte schneller und einfacher mittels der neuen graphischen Oberfläche des Abfrageassistenten zu erstellen und hinsichtlich Stil und Layout anzupassen.

Anzeige der Netto-Risikowerte 

In den Verknüpfungen zwischen Assets und Szenarien werden in der ISM-Perspektive zusätzlich zu den Brutto-Risikowerten (Risikowerte ohne Berücksichtigung implementierter Maßnahmen) in verinice 1.13.1 auch die Netto-Risikowerte (Risikowerte mit Berücksichtigung implementierter Maßnahmen) angezeigt. Diese Darstellung ermöglicht Ihnen die unmittelbare und bessere Beurteilung einzelner Risiken nach ISO 27005 direkt während der Arbeit an Assets oder Szenarien in verinice.

Die Netto-Risiken stehen natürlich auch zur Ausgabe in Abfragen zur Verfügung.

Risikobehandlungsmethode

Ebenfalls in den Verknüpfungen zwischen Assets und Szenarien kann jetzt die Risikobehandlungsmethode festgehalten werden. Mit dieser Option können Sie für jedes einzelne Risiko gemäß der ISO 27005 die geeignete Methode der Risikobehandlung (Akzeptieren, Modifizieren, Übertragen, Vermeiden) definieren und dokumentieren.

Auch die Risikobehandlungsmethode kann in Abfragen verwendet werden.

Freigabeprozess im Aufgaben-Workflow

Der Aufgaben-Workflow wurde um einen Freigabeprozess erweitert, der optional aktiviert werden kann. Nimmt der Bearbeiter einer Aufgabe Änderungen an einem Objekt vor, so werden diese Änderungen erst dann übernommen, wenn der Ersteller der Aufgabe die Änderungen freigibt.

Änderungen können zurückgewiesen werden und dem selben oder einem anderen Bearbeiter erneut zugewiesen werden. Alle Änderungen werden in einem Dialog den ursprünglichen Inhalten gegenübergestellt, um Ihnen die Entscheidung über die Freigabe zu vereinfachen.

Detailverbesserungen und Fehlerkorrekturen

Das verinice.TEAM hat für verinice 1.13.1 einige Fehler behoben und kleinere Verbesserungs­vorschläge aus dem Kreis der Anwender umgesetzt. Viele davon steigern den Anwendungskomfort.

Geänderte Property Dateien

Erweiterungen für Datenschutz, BSI-BIA 100-4 und PCI DSS

  • SNCA.xml

  • snca-messages.properties

  • snca-messages_de.properties


Erweiterungen für den Updateprozess

Neu in veriniceserver/WEB-INF/web.xml

  • classpath:sernet/gs/server/spring/veriniceserver-updatenews-dummy.xml


Neue Berechtigung

Neue Action-ID: taskwithreleaseprocess (ALL/F/Freigabeprozess aktivieren) in:

  • verinice-auth-default.xml

  • verinice-auth-messages.properties

  • verinice-auth-messages_de.properties

Datenbankänderungen

Neue Spalten in Tabelle cnalink:

 

  • riskConfidentialityWithControls

  • riskIntegrityWithControls

  • riskAvailabilityWithControls

  • riskTreatment

Codename: Sylt
Veröffentlichungsdatum: 12.10.2016

Ab sofort stehen verinice und verinice.PRO in Version 1.13 zum Download zur Verfügung; der Bezug von verinice ist ab dieser Version nur noch über den verinice.SHOP möglich. 

ACHTUNG: Als Administrator eines verinice.PRO Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes!

Link-Table-Reports: Der In-Memory-Abfrageassistent

Mit dem neuen Abfrageassistenten erstellen Sie Ihre eigenen Abfragen direkt aus verinice heraus. Sie brauchen eine Liste aller Grundschutzmaßnahmen mit Bausteinen und Zielobjekten? Kein Problem. Oder eine Übersicht aller Assets mit Risikoszenarien und den jeweils Verantwortlichen? Ebenfalls mit wenigen Klicks erstellt.

Für jedes Objekt können Sie genau festlegen, welche Felder Sie in welcher Reihenfolge ausgeben möchten.

Alle Abfragen können im CSV-Format direkt nach Excel oder LibreOffice Calc übertragen und dort weiter bearbeitet werden. Mit den vertrauten Mechanismen Ihrer Tabellenverarbeitung können Sie somit alle Berichte sortieren, filtern und für die Verwendung von Charts benutzen.

Das Beste dabei: Sämtliche Abfragen – auch über komplexe Verknüpfungsstrukturen und tausende Objekte – werden rasend schnell und meist in wenigen Sekunden abgearbeitet.

Erreicht wird dies über eine eigens für diesen Zweck geschaffene, von verinice intern verwendete Abfragesprache: Die "verinice Query Language" (VQL). Auf Basis der Benutzereingaben erzeugt der Abfrageassistent zunächst eine passende VQL-Abfrage. Diese wird in ein Graphenmodell überführt, das nur diejenigen Teile der Datenbank in den Speicher lädt, die für die Beantwortung der Abfrage benötigt werden. Dort wird dann die Ergebnistabelle komplett mit Hilfe der In-Memory-Repräsentation der Datenbank erzeugt und ausgegeben.

AbfrageassistentLTR CSV-ExportWeiterverarbeitung in Excel

Neuerungen im Datenschutz

Das verinice.TEAM hat alle Felder für die Pflege der Verarbeitungsübersicht in verinice überarbeitet und an die aktuelle Gesetzeslage sowie an die zu erwartenden Änderungen durch die EU-Datenschutz-Grundverordnung (EU-DSGVO) angepasst.

 BDSG in verinice 

In Kürze veröffentlichen wir passend dazu auch eine Beispieldatenbank mit wertvollen Inhalten für die Pflege der Verarbeitungsübersicht sowie der technisch-organisatorischen Maßnahmen.

Mehr Sicherheit

An gleich mehreren Stellen haben wir zusätzliche Sicherheitsmaßnahmen eingeführt. 

Verschlüsselte Datenbankexporte im VNA-Format enthalten nun einen individuellen Salt um Wörterbuchattacken zu erschweren. Bislang kam für mehrere Dateien derselbe Salt zum Einsatz. VNA-Dateien der V 1.13 sind dadurch nicht mehr abwärtskompatibel zu Vorgängerversionen. Konkret heißt das: Ein mit verinice 1.13 erstellter, verschlüsselter Export lässt sich mit verinice 1.12 nicht mehr einlesen.

Die Erzeugung von Reports findet nun in einer Sandbox statt, so dass mögliche Aktionen während der Reporterzeugung einschränkt sind. Falls Sie selbst erstellte Reports verwenden, die gegen die nun strengeren Sicherheitsbeschränkungen verstoßen, können Sie diesen Mechanismus in den Einstellungen abschalten. Da Report-Templates potentiell schädlichen Programmcode enthalten können (ähnlich zu Word-Dateien mit Makros), sollten Sie in jedem Fall Report-Templates nur aus vertrauenswürdigen Quellen verwenden.

verinice.PRO hat eine zusätzliche Sicherheitsschicht erhalten, welche die Verwendung von Services mit dem Profil des Nutzers abgleicht und ggf. unberechtigte Zugriffe auf Programmfunktionen untersagt.

Sichere Reports

Verknüpfungen zwischen Grundschutz- und ISM-View

Per Drag-and-Drop lassen sich nun zwischen Objekten des Grundschutzmodells und des ISM-Modells Verknüpfungen anlegen, soweit die entsprechende Verknüpfung im Datenmodell definiert ist. So kann man nun zum Beispiel zu Grundschutz-Maßnahmen die zugehörige Richtlinie im ISM-View als Objekt anlegen, das tatsächliche PDF-Dokument als Dateianhang hinzufügen und die Richtlinie mit sämtlichen zugehörigen Grundschutzmaßnahmen verknüpfen.

Fehlende Verknüpfungsmöglichkeiten lassen sich wie immer individuell als Customizing der in XML festgelegten Objektdefinitionen hinzufügen.

ISM und ITGS

Benutzerdefinierte Bausteine: Drag-and-Drop 

In benutzerdefinierte Bausteine können jetzt Maßnahmen und Gefährdungen aus dem IT-Grundschutzkatalog einfach per Drag-and-Drop hinzugefügt werden.

Risikoanalysen: Kopieren-und-Einfügen

Risikoanalysen im IT-Grundschutz lassen sich jetzt einfach über Kopieren und Einfügen duplizieren. Dabei wird nicht nur das Endergebnis kopiert sondern auch sämtliche Zwischenschritte des Risikoanalyse-Wizards.

So lassen sich bestehende Risikoanalysen nun schnell als Grundlage für ähnliche Zielobjekte wiederverwenden. Nach wie vor besteht die mit verinice 1.12 eingeführte Möglichkeit, Risikoanalysen über den VNA-Export zu kopieren und auch an Kollegen zu verschicken.

GSTOOL-Import

Kleinere Verbesserungen im GSTOOL-Import: Die ID und Kapitelnummer von Gefährdungen aus benutzerdefinierten Bausteinen sowie die Kritikalitätsstufen von Netzverbindungen werden nun stets korrekt eingelesen.

Suchansicht: Drag-and-Drop

Objekte in Suchergebnissen können nun direkt per Drag-and-Drop zum Anlegen von Verknüpfungen verwendet werden. Die Mehrfachselektion wird dabei natürlich unterstützt. So können Sie z.B. zunächst nach Szenarien zum Thema "Compliance" suchen und alle relevanten Szenarien auf einmal mit dem passenden Asset verknüpfen.

Kopieren von Dateianhängen bei Objekten

Wahlweise können nun beim Kopieren von Objekten auch alle Dateianhänge kopiert werden. Dieses Verhalten können Sie über die Einstellungen nach Wunsch festlegen.

verinice.PRO: KIX4OTRS Anbindung

In Zusammenarbeit mit der C.A.P.E. IT GmbH hat das verinice.TEAM zusätzliche Datenfelder in verinice vorgesehen, die für eine Kopplung zwischen verinice.PRO und KIX4OTRS verwendet werden können.

Durch eine Anbindung des ISMS-Tools verinice an das Service-Management-Tool KIX4OTRS lassen sich Anforderungen an eine Workflow-Integration abbilden. So können etwa OTRS-Tickets um Informationen zur Bearbeitung von verinice-Objekten angereichert werden. Bei erfolgreicher Bearbeitung eines Tickets lassen sich die veränderten Informationen direkt in der verinice-Datenbank speichern.

Ebenso interessant ist für viele Anwender eine Übertragung von Configuration Items aus KIX4OTRS in die verinice Asset-Datenbank. Für konkrete Integrationsprojekte stehen Ihnen SerNet und C.A.P.E IT gern mit Rat und Tat zur Seite.

verinice.PRO: Einfachere Konfiguration für Greenbone GSM

Die Anbindung von verinice.PRO an die Schwachstellen-Scanner von Greenbone / OpenVAS ist mit verinice 1.13 einfacher und nun Bestandteil der normalen Konfigurationsdatei. Genauere Hinweise finden Sie in der Update-Anleitung für verinice.PRO.

verinice.PRO: Neuer REST-Webservice 

Über eine neue REST-Schnittstelle ist es nun für Entwickler möglich, Daten vom verinice.PRO-Server über das Netzwerk programmatisch auszulesen. Dadurch werden vielfältige neue Möglichkeiten zur Integration von verinice.PRO an andere Software-Tools geschaffen. Selbstverständlich unterliegen sämtliche Anfragen auch über diese neue Schnittstelle den bestehenden Authentifizierungs- und Autorisierungsmechanismen.

verinice.PRO: AD-/LDAP-Anmeldung für Nutzergruppen

Die Anbindung an Verzeichnisdienste für die Nutzeranmeldung unterstützt jetzt auch die kombinierte Abfrage von Accounts in unterschiedlichen Gruppen.

Komfort-Verbesserungen

Das verinice.TEAM hat für verinice 1.13 wieder über 100 Fehler behoben und kleinere Verbesserungsvorschläge unserer Anwender umgesetzt. Viele davon steigern den Anwendungskomfort. U.a. haben wir im Account-Gruppen-View einen Button ergänzt, der nun auch von dort das direkte Bearbeiten von Accounts ermöglicht. Außerdem haben wir die Sortierung deutscher Umlaute in der Baumdarstellung sowie im Reporting verbessert. Die ISM-Risikoanalyse trägt jetzt korrekte Werte in alle Objekte ein, selbst wenn der ausführende Nutzer keine Schreibrechte auf verknüpften Objekten besitzt.

Sicherheitshinweis für verinice.PRO Administratoren

In bisherigen verinice-Versionen enthielt das Profil "Scope-only-admin" standardmäßig die Berechtigungen zum Ändern von Nutzerprofilen und Account-Einstellungen. Dadurch konnte ein Administrator, der auf einen bestimmten Scope beschränkt war, sich selbst weitere Rechte vergeben und damit seinen Zugriff erweitern.

Ab V 1.13 enthält das o.g. Standardprofil diese Berechtigungen sowie fünf weitere nicht mehr. Falls Sie das Profil ohne es zu veränderen benutzen, werden diese Änderungen automatisch aktiv. Falls Sie das Profil selbst bearbeitet haben, müssen Sie die entsprechenden Aktionen von Hand entfernen, soweit nicht bereits geschehen.

Die entfernten Aktionen sind:

  • Account-Einstellungen bearbeiten
  • Berechtigungsprofile bearbeiten
  • GSTOOL: Notizen-Import
  • GSTOOL-Import
  • LDAP-Import
  • Alle Aufgaben anzeigen

Geänderte Property-Dateien

Einfache Konfiguration des Greenbone Security Manager (GSM) Imports 

  • veriniceserver/WEB-INF/veriniceserver-plain.properties[-default|local]

    • Neu: veriniceserver.gsmGenerator.enabled=false
    • Neu: veriniceserver.gsmGenerator.cron=0 5 3 * * ?
    • Die auskommentierten und veralteten MySQL JDBC Properties wurden entfernt

Verschiedene Erweiterungen, z.B. Datenschutz und KIX

  • SNCA.xml, snca-messages.properties, snca-messages_de.properties

Absicherung der Services auf dem Server

  • veriniceserver/WEB-INF/web.xml

ElasticSearch-Konfiguration

  • veriniceserver/WEB-INF/classes/sernet/verinice/search/analysis_de.json
  • veriniceserver/WEB-INF/classes/sernet/verinice/search/analysis_en.json
  • veriniceserver/WEB-INF/classes/sernet/verinice/search/mapping.json

 

Rechteprofile

  • veriniceserver/WEB-INF/verinice-auth-default.xml

LDAP-Authentifizierung

  • veriniceserver/WEB-INF/verinice-ldap.properties

 

 

Codename: Piha
Veröffentlichungsdatum: 17.02.2016

Ab sofort steht die neue Version 1.12 von verinice und verinice.PRO zum Download zur Verfügung. Diese Version beinhaltet folgende Neuerungen und Verbesserungen:

Noch mehr GSTOOL-Import

verinice 1.12 bietet einen nochmals erweiterten GSTOOL-Import. Ab sofort werden auch benutzerdefinierte Typen und Subtypen aus dem GSTOOL nach verinice übertragen. Für die Zuordnung der Typen existiert nun ein eigener View. Diese Funktion können Sie sich in einem kurzen Video im verinice-YouTube-Channel genauer ansehen.

Zudem werden nun alle Kombinationen aus benutzerdefinierten und individualisierten Maßnahmen und Bausteinen aus dem GSTOOL übertragen, ebenso referenzierte Bausteine bei IT-Verbünden. Probieren Sie gern den GSTOOL-Import mit Ihrer eigenen Datenbank aus – das verinice.TEAM freut sich über Ihr Feedback!

Risikoanalyse nach BSI 100-3

Der Wizard für die Risikoanalyse nach BSI 100-3 ist gründlich überarbeitet und dabei alle Verbesserungsvorschläge von Anwendern berücksichtigt. Fehler beim Auswählen von Maßnahmen und Gefährdungen sind beseitigt. Die Beschreibung der selektierten Maßnahme oder Gefährdung wird nun jederzeit vollständig angezeigt und erleichtert dadurch die Auswahl. Zeitgleich hat der zugehörige Report "A.6 Risikoanalyse" einige Layout-Verbesserungen bekommen.

VNA-Export von Risikoanalyse nach BSI 100-3

Viele Anwender haben diese Funktion wiederholt angefragt: Die Risikoanalysen nach BSI 100-3 sind nun vollständig in einem VNA-Export enthalten. Somit können auch die Risikoanalysen zwischen zwei verinice-Installationen ausgetauscht werden.

Zeitgleich veröffentlichen wir in unserem Content-Bereich eine VNA-Datei, mit der die Elementaren Gefährdungen (G.0) des BSI einmalig importiert und danach in jeder Risikoanalyse verwendet werden können.

Personenreferenzen in VNA-Export enthalten

Genau wie Risikoanalysen sind nun auch alle Personenreferenzen aus der IT-Grundschutzansicht in den VNA-Exporten enthalten.

Neue Greenbone-GSM Perspektive

Eine neue Perspektive erleichtert den Einstieg in die Kopplung von verinice mit dem Schwachstellen-Scanner Greenbone GSM (OpenVAS) und eröffnet Zugang zu vielen damit verbundenen Vorteilen. Zwei Tutorials erklären Schritt-für-Schritt, wie man die Ergebnisse eines Scans in verinice importieren und dort weiter verarbeiten kann.

Im Grundschutz erleichtert der Scan einige Schritte der BSI-Vorgehensweise: in der Strukturanalyse werden gescannte Systeme automatisch als Zielobjekte angelegt. Danach kann die Bausteinmodellierung basierend auf den vorgefundenen Software-Komponenten automatisch angestoßen werden. Zu guter Letzt erfolgt sogar ein Basis-Sicherheits-Check anhand des festgestellten Umsetzungsstatus von technischen Maßnahmen.
In der ISM-Ansicht können gefundene Systeme und Schwachstellen zur Berücksichtigung im Rahmen der Risikoanalyse importiert und direkt verwendet werden. Die Objekte sind dafür bereits passend miteinander verknüpft. Mit verinice.PRO geht es dann noch deutlich darüber hinaus: ein eigener Workflow hilft beim Zuweisen von Verantwortlichen und Beheben der Schwachstellen im laufenden Betrieb. Ein intelligenter Abgleich sorgt dafür, dass auch bei wiederholten Scans keine doppelten Tasks erzeugt werden. Gleichfalls werden nur wirklich behobene Schwachstellen auch aus der Risikodatenbank entfernt.

verinice.PRO: Beschleunigung der Volltextsuche in AD-Umgebungen

Die Verwendung der AD- oder LDAP-Authentifizierung für einen verinice.PRO Server, verlangsamte bisher die Suche deutlich. Dieses Problem ist gelöst, so dass nun auch diese Anwender die volle Performance der verinice-Such-Engine nutzen können.

Die gläserne Produktion (GIT-Umstellung)

verinice-Quellcode ist und bleibt Open Source! Die Entwicklung ist nun noch einmal ein gutes Stück transparenter geworden. Ab sofort ist der gesamte verinice-Entwicklungsfortschritt auch auf der Plattform Github sichtbar. Wer dem verinice-Team bei der Arbeit zuschauen möchte, kann das ab sofort im verinice-Repository tun.

Alle Änderungen im Detail listet zum Beispiel die folgende Seite auf: github.com/SerNet/verinice/commits/develop

Für Nicht-Techniker sind die grafischen Auswertungen interessanter, zum Beispiel die Darstellung der Verzweigungen im Quell-Code während der Entwicklung.

Detailverbesserungen und Fehlerkorrekturen

Wieder enthält verinice viele weitere kleine Verbesserungen und Korrekturen. Insgesamt wurden über 80 Vorgänge für diesen Release bearbeitet, hier eine Auswahl der wichtigsten Änderungen:

  • Behoben wurde ein Fehler, der ein leeres Grundschutz-Modellfenster direkt nach dem Start verursachte.
  • In Version 1.11 wurde ein Fehler eingeführt, der es ermöglichte Relationen in der falschen Richtung anzulegen (z.B. "Dokument ist Autor von Person"). Version 1.12 beseitigt diese Möglichkeit wieder. Zudem werden alle falsch angelegten Relationen automatisch beim Update repariert, indem die Richtung der Relation falls nötig korrigiert wird.
  • Der verinice-Client verwendet nun das Oracle Java Runtime Environment (JRE) 8.
  • Grundschutz-Inhalte werden nun unabhängig vom Öffnen des Katalog-Views geladen. Bislang entstanden Probleme, wenn andere Funktionen auf nicht geladene Grundschutzkataloge zugreifen wollten.
  • Lese- und Schreibberechtigungen für neu angelegte Risikoanalysen werden nun vom übergeordneten Objekt geerbt, wie bei allen anderen Objekten.
  • LTR-Report (Dataset zur Verwendung im vDesigner): Warf eine Fehlermeldung aus, wenn nur ein Element auf der obersten Ebene vorhanden war.
  • LTR-Report (Dataset zur Verwendung im vDesigner): Benutzt nun alle Relationstypen, wenn keine explizit angegeben sind.
  • Neuer Splash-Screen und neue Icons.
  • Validierungs-View sortiert nun die Elemente korrekt und aktualisiert sich bei Refresh.
  • Die Such-Indexierung konnte mehrfach gestartet werden, behoben.
  • Dateigröße wurde beim VNA-Webservice-Import nicht gespeichert, behoben.
  • Die Property "Dateigröße" ist nun read-only.
  • Datei-View: initialer Zustand des Buttons "Verknüpfen mit Editor" war falsch, behoben.
  • ISA-Konsolidator übertrug fälschlicherweise den Zielreifegrad von Controls, behoben.
  • Nutzerprofile: Deaktivieren der Suchfunktion deaktiviert nun auch das Toolbar-Icon und den Menüeintrag.
  • URLs zur verinice Webseite auf dem Willkommensbildschirm sind korrigiert.
  • Bei allen Grundschutzelementen wurde eine Validierungsregel ergänzt: Titel darf nicht leer sein.
  • Editoren von gelöschten Elementen werden nun immer geschlossen.
  • Der Passwortdialog prüft nun auf ungültige Zeichen in Passwörtern.
  • Daten für den View "Account-Gruppen" werden nun in einem Workspace-Job im Hintergrund geladen.
  • Relationen in der Auswahlliste sind nun alphabetisch sortiert.

Hinweise zum Update

Geänderte Konfigurationsdateien

  • veriniceserver-plain.properties[.default|.local]

    • veriniceserver.gsmGenerator.enabled=false
    • veriniceserver.gsmGenerator.cron=0 5 3 * * ?

  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • veriniceserver-plain.xml
  • veriniceserver-jbpm.xml

Datenbankänderungen

  • Spalte "Beschreibung" in Tabelle OwnGefaehrdung wird auf (32672(derby), 400000(postgres), 4000(oracle)) Zeichen Länge umgestellt
  • Spalte "Description" in Tabelle Risikomassnahme wird auf (32672(derby), 400000(postgres), 4000(oracle)) Zeichen Länge umgestellt
  • Datenbankmigration: Durch den Fehler [http://bob.sernet.private:8180/browse/VN-1280 VN-1280] können bestehende DBs korrupte Verknüpfungen enthalten. Dazu wurde eine Datenbankmigration geschrieben (neue Version: 1.03D), die beim Update auf die neue Version (des Clients) durchgeführt wird und zu verlängerten Startzeiten führen kann (je nach Größe der Datenbank (alle existierenden Verknüpfungen werden auf Korrektheit (Richtung) geprüft)).

Codename: Sandy Beach

Veröffentlichungsdatum: 28. August 2015

Volltextsuche

Mit Version 1.11 erhalten verinice und verinice.PRO eine Suchfunktion, mit der Anwender jedes gesuchte Objekt in Bruchteilen von Sekunden finden. Die gesamte Datenbank wird dafür kontinuierlich indiziert, um diese Performance auch bei großen Datenbanken zu gewährleisten. verinice verwendet hierfür das OpenSource-Framework Elasticsearch. Diese - unter anderem auch von Wikimedia eingesetzte -Suchmaschine wurde vollständig in verinice und verinice.PRO integriert.

Die Suche wird in einem neuen View angezeigt, der auch mehrfach geöffnet werden kann. So können mehrere Suchen parallel durchgeführt und Ergebnisse verglichen werden.

Hinweis: Für die bestmögliche Indizierung sollte die Spracheinstellung des verinice.PRO-Servers bzw. des verinice-Standalone-Clients mit der Sprache der in verinice eingegeben Daten übereinstimmen.

Freie Spaltenauswahl

Die im Suchfenster angezeigten Spalten können individuell angepasst werden. Verinice merkt sich die nutzerspezifische Konfiguration der angezeigten Felder.

CSV-Export

Das angezeigte Suchergebnis kann als CSV-Datei exportiert werden. Damit lassen sich über die Suche gefundene Listen, z.B. von Maßnahmen oder anderen Objekten in Excel oder LibreOffice weiter auswerten.

GSTOOL-Import

Das verinice.TEAM hat umfangreiche Verbesserungen am GSTOOL-Import vorgenommen. Zahlreiche Felder wurden ergänzt und die Liste der Subtypen wurde erweitert, um auch aus den letzten verfügbaren Versionen des GSTOOL bzw. der Ergänzungslieferungen alle Informationsverbünde übernehmen zu können.

Unterstützung für große GSTOOL-Datenbanken

Mit verinice wurden bereits einige der größten GSTOOL-Datenbanken Deutschlands mit jeweils Hunderten von Informationsverbünden übernommen. Dank erheblicher Verbesserungen in Geschwindigkeit und Speicherverbrauch übernimmt verinice auch solche GSTOOL-Datenbanken (mit Größen von 1 Gigabyte und mehr) nun "in einem Rutsch". Alle Zielobjekte werden korrekt den jeweiligen Informationsverbünden zugeordnet. Bausteine und Bausteinreferenzen werden korrekt angelegt. verinice behandelt dabei auch selten vorkommende Randfälle, die andere Tools ins Stolpern bringen.

Risikoanalysen

Ab Version 1.11 kann verinice die sogenannten "Ergänzende Sicherheitsanalysen" und Risikoanalysen nach BSI 100-3 aus dem GSTOOL nach verinice überführen.

Maßnahmen und Gefährdungen werden übertragen, Zwischenschritte werden korrekt in den verinice-Wizard für Risikoanalysen nach BSI 100-3 übernommen. Dadurch kann jeder einzelne Schritt der importierten Risikoanalyse später nachvollzogen und auch jederzeit erneut bearbeitet werden: von der Gefährdungsübersicht über die Gefährdungsbewertung bis hin zur Risikobehandlung.

Die einzelnen Zwischenschritte zu erhalten ist zwingende Voraussetzung, um einen standardkonformen Bericht als Referenzdokument A.6 erzeugen zu können. verinice erzeugt diesen Bericht auch mit den importierten Daten auf Knopfdruck.

Waisenkinder

verinice behandelt nun den Fall korrekt, dass ein Zielobjekt selbst keinem einzigen IT-Verbund zugeordnet ist, aber von anderen Zielobjekten aus referenziert wird. Auch in diesem Fall werden alle Objekte und Beziehungen zwischen ihnen korrekt abgebildet, um Schutzbedarfsvererbung und alle andere Mechanismen zu gewährleisten.

Personenverknüpfungen

Alle mit Maßnahmen und Bausteinen verknüpften Personen (Befrager, Interviewpartner, Umsetzungsverantwortliche...) werden korrekt als Referenzen in verinice übernommen.

Neues Report-Template

Eine neues Template vereinfacht das Erzeugen von Reports mit verknüpften Elementen im vDesigner.

VDA ISA Version 2.1.3

verinice enthält nun die aktualisierte Version 2.1.3 des VDA ISA-Fragenkatalogs.

Objektbrowser

Der Objektbrowser reagiert nun auf Selektionen von Verknüpfungen - dadurch lassen sich z.B. miteinander verknüpfte Controls besser navigieren.

OpenJDK 7 auf dem Server

verinice.PRO verwendet nun das von RedHat supportete OpenJDK 7.

Detailverbesserungen und Fehlerkorrekturen

verinice 1.11 bringt wieder viele Detailverbesserungen mit und korrigiert Bugs:

  • Das Layout des Account-Gruppen-View wurde verbessert.
  • Alle Titelfelder haben eine optional einschaltbare Validierungsregel, die Objekte ohne Titel markiert.
  • Im Dialog "Neue Verknüpfung" kann nun direkt der gewünschte Verknüpfungstyp ausgewählt werden.
  • Der Button "Multiuser" heißt nun "Server", um mit der sonstigen Wortwahl übereinzustimmen.
  • Beim Hinzufügen von Dateianhängen merkt verinice sich nun den zuletzt verwendeten Ordner.
  • GSM-Import: Szenarien und Schwachstellen, die von OpenVAS oder Greenbone GSM importiert wurden, werden nun farbig je nach Schweregrad markiert.
  • Eine fehlende Schreibberechtigung auf dem Report-Template-Ordner wird nun bemerkt und als Fehlermeldung angezeigt.
  • Der ISA-Konsolidator überschreibt nun nicht mehr die ISA-Versionsnummer.
  • Der Objektbrowser wird nun in allen Perspektiven standardmäßig mit angezeigt.
  • Das Release für Mac OS X wird jetzt mit der aktuellsten Version der Java Runtime Envrionment 7 von Oracle ausgeliefert (das von Apple für OS X ausgelieferte Java 6 Paket muss dennoch installiert sein, damit verinice in OS X startet, obwohl es nicht verwendet wird).

Hinweise zum Update

Geänderte Konfigurationsdateien

web.xml

  • classpath:sernet/gs/server/spring/veriniceserver-search-base.xml
  • classpath:sernet/gs/server/spring/veriniceserver-search.xml

veriniceserver-plain.properties[-default|local]

  • veriniceserver.search.index.directory=/WEB-INF/elasticsearch/
  • veriniceserver.search.indexingOnStartup=true
  • verinice-auth-default.xml, WEB-INF/verinice-auth-messages[_de].properties
  • springDispatcher-servlet.xml
  • veriniceserver-common.xml
  • veriniceserver-daos-common.xml
  • veriniceserver-plain.xml
  • veriniceserver-security.xml
  • veriniceserver-search*.xml (neu)

Codename: Tres Palmas

Veröffentlichungsdatum: 29. Mai 2015

Wichtiger Hinweis für das Update: Wegen der nötigen Datenmigration kann der erste Start des verinice-Clients nach dem Update etwas länger dauern als üblich. Dies ist kein Grund zur Beunruhigung. Weitere Hinweise finden Sie unter dem Punkt "Anzeige der Dateigröße im File-View". 

Englische IT-Grundschutzkataloge

Der vollständige Text der IT-Grundschutzkataloge des BSI ist ab verinice 1.10 auch in englischer Sprache verfügbar. Dies vereinfacht die Arbeit mit dem IT-Grundschutz in internationalen Teams.

Auch für Anwender der nativen ISO 27001:2013 ist der umfangreiche Gefährdungs- und Maßnahmenkatalog von erheblichem Nutzen: Bei einer Risikobewertung und Risikobehandlung können die Grundschutzkataloge als Datenbank zu speziellen Themen von Windows bis SAP zum Einsatz kommen.

Alle Gefährdungen lassen sich als Szenarien in eigenen Risikoanalysen verwenden. Per Drag-n-Drop können die gewünschten Gefährdungen oder ganze Bausteine in das Risikomodell gezogen werden.

Ebenso kann bei der Risikobehandlung auf die über 1.000 Grundschutzmaßnahmen zurückgegriffen werden. Als spezielle Controls ergänzen sie die generischen Vorgaben der ISO/IEC 27002:2013. Auch die Controls lassen sich einfach per Drag-n-Drop in das ISM-Risikomodell einfügen.

Die englischen IT-Grundschutzkataloge sind auf dem Stand der 13. Ergänzungslieferung des BSI. Für die Unterstützung bei der Bereitstellung der englischen Grundschutzkataloge bedanken wir uns bei unserem verinice.PARTNER Alexander von Ossowski.

Update auf VDA ISA 2.x

verinice V 1.10 unterstützt vollständig die Neuauflage des VDA IS-Assessment in der Version 2.x. Neben dem eigentlichen Katalog wurden auch die Methode zur Berechnung der Durchschnittswerte sowie der "Total Security Figure" angepasst. 

Der ausgegebene Report stellt im Spinnennetzdiagramm den erreichten Reifegrad und den Zielreifegrad zu jedem Kapitel dar, unter Berücksichtigung aller als "N.A." markierten Fragen.

Anwender von verinice sind somit absolut konform zum VDA-Standard. Zudem
ermöglicht ein Konsolidator die Übernahme von Assessment-Ergebnissen, die nach
dem VDA 1.x Standard erfolgt sind. Verschiebungen von Controls etc. werden
dabei korrekt berücksichtigt.

Anzeige der Dateigröße im File-View

Der File-View zeigt nun zu allen Attachments auch die Dateigröße an. Dies erleichtert z.B. das gezielte Aufräumen bei einer größer werdenden Datenbank.

Hinweis: Nach dem Update auf V 1.10 werden diese Informationen in der Datenbank ergänzt. Das Update wird bei der ersten Verbindung eines verinice-Clients zur Datenbank ausgelöst. Je nach Anzahl der vorhandenen Dateianhänge kann der Start des ersten verinice-Clients nach dem Update einige Sekunden bis zu mehreren Minuten in Anspruch nehmen. Wir empfehlen daher, unmittelbar im Anschluss an das Server-Update einen Client-Start durchzuführen, damit das Update vor der ersten regulären Benutzeranmeldung abgeschlossen ist. Der Vorgang wird nur ein einziges mal durchlaufen.

Exklusive Features von verinice.PRO

Single-Sign-On mit Active Directory

Auf Windows-Clients unterstützt verinice.PRO nun Single-Sign-On: der im
System angemeldete Benutzer wird automatisch für den Login am verinice.PRO
Server verwendet. Eine erneute Eingabe von Benutzername und Passwort entfällt.

Der bisherige Anmeldemechanismus mit erneuter Angabe von Benutzer und Passwort steht wahlweise weiterhin zur Verfügung, falls Sie z.B. in verinice mit einem anderen als dem unter Windows angemeldeten Benutzer arbeiten möchten.

Import von Personen aus AD in die Grundschutzansicht

Beim AD-Import kann nun ausgewählt werden, ob die importierten Personen und
Accounts im ISM- oder im Grundschutz-Modell angelegt werden sollen.

Optimierung der Aufgabenansicht

Der Aufgaben-View wurde verbessert: Aufgaben werden schneller geladen, ein
Suchformular ermöglicht das Auffinden spezieller Aufgaben. Aufgaben können nach
Gruppe, Bearbeiter, Prozess, Aufgaben-Typ, Start- und End-Termin gesucht
werden.

Detailverbesserungen und Fehlerkorrekturen

Kleinere Verbesserungen und eine Vielzahl behobener Fehler an diversen Stellen runden das Update auf V 1.10 ab. Erwähnenswert sind z.B.:

  • Im Web-Frontend für Aufgaben kann nun der Volltext von Grundschutz-Maßnahmen angezeigt werden. Das erleichtert das Delegieren beim Basissicherheits-Check sowie bei der Maßnahmenumsetzung.
  • Die lokale Report-Ablage auf dem verinice-Client funktioniert nun wie vorgesehen.
  • Die Bausteinzuordnungen, Personenzuordnungen und Zielobjekte-Typen beim GSTOOL-Import wurden korrigiert.
  • Das Vererben von Custom-Icons an untergeordnete Objekte kann nun an- oder abgeschaltet werden.
  • Beim Verschieben von Objekten kann ausgewählt werden, ob die Zugriffsrechte des Zielordners für das verschobene Objekt übernommen werden sollen.
  • Beim Doppelklick auf ein Attachment im File-View wird in der Baumdarstellung nun das zugehörige Objekt selektiert.
  • In der Account-Anzeige wird nun angezeigt: "Nachname, Vorname [Account]"
  • In der Account-Gruppenanzeige werden in der Gesamtliste nicht wie bisher alle Accounts angezeigt, sondern nur noch diejenigen, die nicht in der gewählten Gruppe enthalten sind. Das erleichtert die Suche nach nicht-zugeordneten Accounts.
  • Die kundenspezifische Customizing-Datei ("SNCA.xml") wird nun beim Update nicht mehr verschoben sondern bleibt in Betrieb. Achtung: Bitte beachten Sie nach wie vor die Update-Anleitung zum Umgang mit Konfigurationsdateien!

Hinweise zum Update

Geänderte Konfigurationsdateien

Ordner: WEB-INF

  • SNCA.xml, snca-messages.properties, snca-messages_de.properties 
    Erweiterung der Assets-Properties für die Risikowerte mit geplanten Controls (alle Controls, die nicht Status "N.a." tragen)
  • veriniceserver-plain.propertiesveriniceserver-plain.properties.default

Ordner: WEB-INF/classes/sernet/gs/server/spring

  • veriniceserver-common.xml
  • veriniceserver-jbpm.xml

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.

Datenbankänderungen

Migration auf DB-Version 1.01 bzgl. Filesize-Property (siehe den Punkt "Anzeige der Dateigröße im File-View").

Ankündigung: verinice 1.11 schon in Kürze

Bereits in zwei Monaten wird das verinice.TEAM voraussichtlich die nächste verinice-Version veröffentlichen: V 1.11 

Eine indizierte Volltextsuche über sämtliche Elemente in der Datenbank wird wesentliche Neuerung der V 1.11 sein. Dieses nützliche Feature möchten wir so bald wie möglich für unsere Anwender verfügbar machen, darum haben wir uns für eine zeitnahe Veröffentlichung entschieden.

Codename: Tavarua

Neu in diesem Release

Ab sofort steht verinice in der Version 1.9 zum Download bereit. Die Neuerungen im Überblick:

  • VDA ISA Standard 2.0
    In verinice 1.9 ist der neue IS-Assessment Katalog des Verbands der Automobilindustrie (VDA) enthalten. Der Standard wurde grundlegend überarbeitet und an die neuen Vorgaben des aktualisierten Standards ISO 27001:2013 angepasst.
    Durch die spezielle Konsolidatorfunktion können existierende Reifegrade in die neue Kapitelnummerierung übertragen werden. Bestehende Assessment-Ergebnisse können verwendet werden und Nutzer müssen nicht gänzlich von vorn beginnen. Für den Endanwender soll so der Aufwand für das Update und für die Neubewertung soweit wie möglich reduziert werden.
    Alle Änderungen fanden in engem Kontakt mit den Autoren des ISA-Kataloges im entsprechenden Arbeitskreis des VDA statt, so dass die Konformität zum Fragebogen 100% gewährleistet ist.
  • Accountverwaltung (verinice.PRO)
    Ein vollständig neue Benutzer- und Gruppenverwaltung erleichtert das Erstellen und Pflegen des Berechtigungskonzepts besonders für eine große Anzahl von verinice-Benutzern und -Gruppen.
  • Reportablage (verinice.PRO)
    In der mit verinice 1.9 neu eingeführten, zentralen Report-Ablage lassen sich die mit dem vDesigner selbst erzeugten Reports allen Anwendern des verinice.PRO-Servers einfach zur Verfügung stellen. Das zentrale Report-Repository wird vom Client abgeglichen und lokal zwischengespeichert, so dass alle Reports auch im Offline-Modus weiter zur Verfügung stehen. Zusätzlich können ausschließlich lokale Reports im Client hinterlegt werden - z.B. zum Testen oder für vertrauliche Auswertungen. Dabei werden lokale und Server-Reports in der Liste klar gekennzeichnet und unterschieden.
    Für jeden Report lassen sich die gewünschten und sinnvollen Ausgabeformate nun ebenfalls zentral vorgeben (DOC, XLS, PDF...).
    Die mit verinice mitgelieferten Standard-Reports lassen sich auf dieselbe Weise verwalten. So kann z.B. ein Standard-Report durch ein angepasstes Template ersetzt werden, wenn z.B. in allen Reports ein Firmenlogo verwendet werden soll u.ä.
  • Leichteres Ändern im Berechtigungsdialog (verinice.PRO)
    Ebenfalls überarbeitet wurde der Berechtigungsdialog für die Vergabe von Zugriffsrechten auf Objekte. Hier ist es nun leichter und komfortabler möglich, Lese- und Schreibrechte für einzelne Objekte oder Gruppen von Objekten zu setzen.

Hinweise zum Update

Unbedingt zu beachten:

Vor dem Update auf verinice 1.9 ist sicherzustellen, dass es keine Account-Gruppen gibt, die den gleichen Namen wie ein Login-Namen tragen. Ansonsten kann es zu schweren Konflikten kommen, die die Installation nach dem Update unbenutzbar und ein Rollback auf die alte Version zwingend notwendig machen. 

Neue Berechtigungsaktionen:

Eine detaillierte Beschreibung finden Sie im verinice.PRO Handbuch Kap. 13.5.

Neue Aktionen in dieser Version:

  • Reportablage Ansicht / Report Repository View: Erlaubt das Öffnen des Reportablage-Views
  • Report zu Ablage hinzufügen / Add Report to Repository: Erlaubt das Hinzufügen von Reporttemplates zur Reportablage
  • Report aus Ablage entfernen / Remove templates from Report Repository: Erlaubt das Entfernen von Reporttemplates aus der Reportablage
  • Report in Ablage editieren / Edit templates in Report Repository: Erlaubt das Verändern von bestehenden Reportablage Einträgen

Geänderte Konfigurationsdateien:

Ordner: WEB-INF

  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-standalone-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties
  • verinice-ldap.properties
  • web.xml

Ordner: WEB-INF/classes/sernet/gs/server/spring

  • springDispatcher-servlet.xml
  • veriniceserver-common.xml
  • veriniceserver-daos-common.xml
  • veriniceserver-daos-osgi.xml
  • veriniceserver-daos-plain.xml
  • veriniceserver-reportdeposit.xml
  • veriniceserver-reportdeposit-dummy.xml

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.

Codename: Florianópolis

Neu in diesem Release

Ab sofort steht verinice in der Version 1.8 zum Download bereit.

  • Generischer Workflow
    Wenn die Frist zur Umsetzung einer Aufgabe abgelaufen ist, verbleibt die Aufgabe beim Verantwortlichen. Der Initiator der Aufgabe erhält eine E-Mail mit dem Hinweis, dass die Frist abgelaufen ist. Der Verantwortliche kann im Workflow die Verlängerung der Frist beantragen. Der Initiator muss den Antrag prüfen und kann ggf. die Frist der Aufgabe verlängern. 
  • Löschen beim Import
    Beim wiederholten Importieren von Daten aus einer gleichen Quelle können Objekte in verinice gelöscht werden, wenn sie nicht mehr in den importierten Daten enthalten sind.
  • Lese-Berechtigungen im Aufgaben-View
    Im Aufgaben-View werden die Lese-Berechtigungen der Objekte beachtet.  Aufgaben werden nur dann angezeigt, wenn ein Benutzer auch das Objekt sehen darf, das mit der Aufgabe verknüpft ist. 
  • Lese-Berechtigungen im Datei-View
    Im Datei-View werden die Lese-Berechtigungen der Objekte beachtet. Dateien werden nur dann angezeigt, wenn ein Benutzer auch das Objekt sehen darf, an das die Datei angehängt ist.
  • Objektpfad im Verknüpfungs-View
    Im Verknüpfungs-View wird der Pfad vom verknüpften Objekt zum IT-Verbund bzw. zur Organisation als Tooltip angezeigt. 
  • CC- und BCC-Adresse für den Versand von E-Mails
    Auf dem Server kann optional eine CC- und BCC- Adresse eingetragen werden, die in alle E-Mails eingetragen wird, die verschickt werden.
  • Standardverzeichnis für Report-Vorlagen
    Der Report-Dialog speichert (wenn gewünscht) ein Verzeichnis aus dem Report-Vorlagen geladen werden.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-standalone-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties
  • veriniceserver-plain.properties, veriniceserver-plain.properties.default, veriniceserver-plain.properties.local

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Nazaré 

Neu in diesem Release

Ab sofort steht verinice in der Version 1.7.0 zum Download bereit.

  • ISO 27001:2013 / IT-Grundschutz 13. Ergänzungslieferung
    Für verinice 1.7.0 stehen die beiden Standards ISO/IEC 27001:2013 und IT-Grundschutz-Kataloge zur Informationssicherheit in der jeweils aktuellsten Fassung zur Verfügung. 
  • Direktimport für Dateistrukturen
    verinice kann nun ganze Teilbäume aus dem Dateisystem in die Datenbank in einer einzigen Aktion importieren. Ordnerstrukturen bleiben dabei enthalten, die Dateien werden als passende Objekte angelegt und gleichzeitig als Attachment importiert.
    Auf diese Weise lassen sich beispielsweise existierende Richtlinien oder Audit-Nachweise schnell und einfach in die Datenbank übernehmen.
    Der Import kann auch Verknüpfungen zwischen Objekten anlegen, um z.B: die Beziehung zwischen Richtlinien und den darin beschriebenen Controls abzubilden. 
  • Konsolidieren mit Verknüpfungen
    Eine neue Konsolidierungsfunktion für IS-Assessments ermöglicht es, existierende Audit-Ergebnisse auf z.B. Überwachungsaudits zu übertragen. Bestehende Verknüpfungen z.B. zu zentralen Richtlinien und anderen Objekten werden dabei berücksichtigt.
    Diese Funktion erleichtert das kontinuierliche Prüfen der Informationssicherheit durch die Übernahme vergangener Feststellungen und Nachweise als Startpunkt für ein neues Audit. 
  • Webservice zum Importieren von File-Attachments
    Dateianhänge können nun auch über den von anderen Tools ansprechbaren Web-Service automatisch importiert werden. Dadurch können zum Beispiel Report-Ergebnisses aus OpenVAS / Greenbone-GSM mitsamt den Original-Berichten als Referenz in der verinice Datenbank vollautomatisch angelegt werden. 
  • Meldeverfahren für Sicherheitsvorfälle
    Verinice unterstützt mit eigenen Eingabefeldern und neuen Reports die vorgeschriebene Meldung von Sicherheitsvorfällen für Bundesbehörden - konform zur allgemeine Verwaltungsvorschrift über das Meldeverfahren gemäß BSIG § 4 Abs. 6. Zwei neue Report-Templates können sofort eingesetzt werden:
    Die Sofortmeldung ist für kritische Sicherheitsvorfälle vorgeschrieben. Die statistische Gesamtmeldung kann in monatlich ausgeführt werden, um eine Zusammenfassung von Vorfällen nach Kriterien auszugeben.
    Natürlich kann das Verfahren der Bundesbehörden auch in anderen Organisationen als Beispiel für einen Meldeprozess dienen und verwendet werden.
    Eine Beispiel-Organisation zum Ausprobieren des Reports haben wir in unserem Forum bereitgestellt. 
  • Task Übersicht
    Ein neuer Report liefert für verinice.PRO-Anwender eine Übersicht über aktuell über Workflows vergebene Aufgaben im System. So wird der Bearbeitungszustand jeder Aufgabe, der Verantwortliche und Zeiträume sichtbar und das Nachverfolgen von in Bearbeitung befindlicher Aufgaben erleichtert.

Neue Berichtsvorlagen im verinice.FORUM

An dieser Stelle möchten wir auch auf einige Neuentwicklungen hinweisen, die wir für Sie vorab in unserem Forum veröffentlicht haben.

  • Datenschutz: Verarbeitungsübersicht (verinice.FORUM)
    In unserem Forum haben wir eine Report-Vorlage und Beispiel-Organisation zum Erstellen einer Verarbeitungsübersicht nach § 4g II i.V.m. § 4e BDSG bereitgestellt. Die entsprechenden Felder zur Pflege der Verfahren sind in verinice 1.7.0 vollständig enthalten. Funktionen für den Datenschutz werden wir in verinice weiter ausbauen. Für Ihr Feedback und ihre Anregungen sind wir Ihnen sehr dankbar! 
  • IT-Grundschutz Reportvorlage (verinice.FORUM)
    Für verinice.PRO-Anwender steht eine neue Vorlage für eigene IT-Grundschutz-Reports zur Verfügung. Diese enthält alle Objekte eines Informationsverbundes: Zielobjekte, Bausteine, Maßnahmen und verantwortliche Personen. Im vDesigner können damit schnell eigene Tabellen und Charts zur entlang der eigenen Bedürfnisse erstellt werden.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • veriniceserver-plain.properties.default ,veriniceserver-plain.properties, veriniceserver-plain.properties.local
  • veriniceserver-jbpm.xml
  • veriniceserver-plain.xml
  • veriniceserver-webservice.xml

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Pichilemu

Neu in diesem Release

Ab sofort steht verinice in der Version 1.6.3 zum Download bereit.

  • Kopieren mit Links
    Beim Kopieren von Objekten lassen sich jetzt auf Wunsch auch deren Verknüpfungen zu anderen Objekten kopieren. 
    Über diese Funktion können vollständige Teilbäume in der Baumansicht markiert und mit sämtlichen Verknüpfungen innerhalb des Teilbaumes sowie zu anderen Elementen dupliziert werden. 
    So lassen sich z.B. Vorlagen für Audits erstellen, deren Kopien dann ebenfalls mit zentralen Ressourcen (z.B. übergreifenden Richtlinien, verantwortliche Personen) verknüpft sind.
  • Scope-Anzeige in diversen Ansichten 
    Bei der Anzeige von verknüpften Objekten wird nun in einer neuen Spalte der jeweilige Geltungsbereich angezeigt. So lässt sich nun bei gleich lautenden Namen ("Mailserver") schneller das gewünschte Objekt identifizieren.
  • Java 7
    Das mit verinice ausgelieferte JRE ist nun die Version 1.7.0_25.
  • verinice.PRO: Neues RPM-Paket für die Benutzeranleitung
    Für verinice.PRO gibt es nun das neue Paket "verinicepro-manual".
    Nach der Installation ist auf der Intranet-Seite des verinice.PRO Servers die Benutzeranleitung über einen neuen Reiter abrufbar, und zwar als PDF-Download sowie als HTML-Seiten.
  • Diverse Verbesserungen

    • Der Import verbraucht jetzt deutlich weniger Speicherressourcen.
    • Zusätzliche Keyboard-Shortcuts stehen zur Verfügung.
    • Drag-and-Drop von Grundschutzmaßnahmen ist nun möglich.
    • Grundschutz-Bausteine werden im Verknüpfungsdialog angezeigt.
    • Der Report-Cache kann nun im Report-Dialog zurückgesetzt werden.
    • Das Verhalten für Default-Ordner im Report-Dialog haben wir verbessert.
    • In entsprechend gestalteten Reports ist eine Mehrfachauswahl für
      Scopes verfügbar.
    • Objekte sind nach dem Verschieben in bislang leere Gruppen sofort
      sichtbar.
    • Kompatibilität zu Java 8

Hinweis zum Ändern des Arbeitsverzeichnisses

Falls Sie in der Datei "verinice.ini" den Pfad für das Arbeitsverzeichnis von verinice verändert haben, beachten Sie bitte folgenden Hinweis:
Nach wie vor kann über den Parameter "-data" der Pfad für das Arbeitsverzeichnis ("Workspace") geändert werden. Standardmäßig wird hierfür der Ordner "verinice" in Ihrem Benutzerverzeichnis angelegt.
Wenn der Parameter entfernt wird, war das bisherige Verhalten, den Workspace im Installationsverzeichnis anzulegen. Ab sofort wird beim Weglassen des Parameters stattdessen das Heimatverzeichnis des Benutzers verwendet, unter Windows 7 also z.B.: "C:\Benutzer\<Benutzername>\workspace".
Um bei verinice 1.6.3 weiter das Installationsverzeichnis zu verwenden, ändern Sie bitte den Parameter in der Datei "verinice.ini" wie folgt:

 -data
./workspace

Hinweise zum Update

Geänderte Konfigurationsdateien
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • veriniceserver-plain.properties.default ,veriniceserver-plain.properties

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Saquarema

Neu in diesem Release

Ab sofort steht verinice in der Version 1.6.2 zum Download bereit.

  • Vulnerability Tracking mit Greenbone GSM und verinice
    Mit verinice und Greenbone / OpenVAS sind Sie bestens vorbereitet, wenn Ende des Jahres die ISO 27001:2013 veröffentlicht wird! Darin erfährt mit dem erweiterten Kapitel A.12.6 "Technical Vulnerability Management" sowie mit dem neuen Control A.18.1.3 "Technical Compliance Inspection" die Erkennung und Beseitigung von Software mit bekannten technischen Schwachstellen zusätzliche Bedeutung!
    Sie können Ihre Scan-Resultate aus Greenbone GSM / OpenVAS direkt in verinice importieren und dort im Rahmen Ihrer Risikoanalyse nutzen. Anwender des IT-Grundschutz profitieren vom neuen automatisierbaren Import des GSM IT-Grundschutz-Scans über den verinice-Webservice.
  • Workflow gestütztes Vulnerability Tracking und Patch-Management
    Mit verinice.PRO gehen Sie bei der Nachverfolgung von Schwachstellen noch weiter: kennen Sie auch das Problem, sich mit hunderten oder gar tausenden identifizierten Schwachstellen konfrontiert zu sehen, die Sie bewerten und nach Themen und Verantwortlichen aggregieren müssen? Können Sie die Behebung der gefundenen Schwachstellen noch überblicken, wenn Sie verteilte Verantwortlichkeiten - u.U. sogar weltweit - im Patch-Management zu berücksichtigen haben?
    Verinice.PRO bringt einen neuartigen Workflow speziell für diesen Zweck mit. Gefundene Schwachstellen werden in möglichst kompakte Gruppen für die jeweiligen Verantwortlichen verpackt, per Mailbenachrichtigung und Web-Frontend kommuniziert und die termingerechte Behebung durch die Workflow-Engine von verinice.PRO überwacht. Der konfigurierbare regelmäßig stattfindende Transfer von Scanner zu verinice bestätigt die Behebung der Schwachstellen als finale Instanz - oder deckt das nicht erfolgreiche Patchen einer angreifbaren Software auf.
  • Der verinice-Risikokatalog
    In unserem Webshop ist ab sofort der neue verinice-Risikokatalog erhältlich. Er erleichtert und beschleunigt die Durchführung einer Risikobewertung gem. ISO 27005 um ein vielfaches. Die Verwendung des Kataloges und die grundsätzliche Risikobewertungsmethodik in verinice zeigt unser neuer Screencast unter http://www.verinice.org/screencasts. Sowohl der Screencast als auch der Katalog sind vollständig in deutscher und englischer Sprache vorhanden.
    In der verinice.PRO Subskription ist selbstverständlich auch dieser Katalog bereits enthalten.
  • Das vernice.PARTNER Netzwerk
    Auf unserer neuen Seite partner.verinice.org finden Sie eine ab sofort stetig wachsende Liste erfahrener Berater, die bereits in mehreren abgeschlossenen Projekten unter Beweis gestellt haben, dass Sie verinice / verinice.PRO erfolgreich bei ihren Kunden zum Einsatz bringen und die gesetzten Ziele erreichen können. verinice.PARTNER unterstützen Sie je nach Qualifikation sowohl bei der fachlichen Durchführung ihres Informationssicherheitsprojekts / Audits als auch bei der Installation und Wartung ihrer verinice-Instanz.

  • Eingabeformulare berücksichtigen inhaltliche Abhängigkeiten
    Alle Eingabemasken von verinice unterstützen nun das Ein- und Ausblenden von Formularfeldern in Abhängigkeit einer vorherigen Auswahl. So werden z.B. die Felder für die Schutzbedarfsstufen ausgeblendet sobald der Benutzer das "Maximumprinzip" für die automatische Vererbung auswählt. Diese Abhängigkeiten finden sich nun an vielen Stellen und erleichtern die Übersicht und verbessern die Datenqualität.

 

Weitere erwähnenswerte Änderungen:

  • Neue Voreinstellung für Exporte: Re-Import Aus
    Beim Export ist nun die Option "Für Re-Import vorbereiten" nicht gesetzt. Wenn bezweckt wird, einen Export wieder zurückzuspielen muss diese Option nun also explizit gesetzt werden. Diese Entscheidung haben wir getroffen, weil die bisher immer gesetzte Import-ID und das daraus resultierende Synchronisierungsverhalten beim Import viele Anwender verwirrte.
  • Neue Voreinstellung für Accounts: Scope-Only Aus
    verinice.PRO: Die Voreinstellung beim Neuanlegen von Accounts ist nun, dass die Eigenschaft "Scopy-Only" *nicht* aktiv ist. Neue Benutzer sind nun also nicht auf einen Mandanten beschränkt, es sei denn man wählt dies aktiv aus. Diese Änderung haben wir vorgenommen, weil viele Benutzer nachfragten, warum sie trotz korrekt vergebener Berechtigungsgruppen keinen Zugriff auf die für Sie frei gegebenen Geltungsbereiche hatten. 
  • Bugfixes
    Verinice 1.6.2 behebt mehrere gemeldete Fehler bei der Reporterzeugung, bei der AD-Authentifizierung in Multi-Domain-Umgebungen, Fehler beim Löschen von Objekten, beschleunigtes Laden im Dialog zum Erstellen von Verknüpfungen, bei der Validierung von Eingaben und Textkorrekturen.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Mundaka

Neu in diesem Release

  • Icon-Auswahl
    verinice wird bunter - Anwender können nun aus einer breiten Palette von Icons auswählen um die besondere Bedeutung einzelner Objekte hervorzuheben. Egal ob bei Assets, Personen oder Dokumenten - für jeden Objekttyp stehen nun zahlreiche alternative Icons zur Verfügung.
  • Validierung
    verinice führt ab sofort in allen relevanten Formularfeldern eine Eingabevalidierung durch. Eine fehlgeschlagene Validierung wird sowohl durch eine Markierung des entsprechenden Feldes als auch in der neuen Validierungsansicht angezeigt. Diese listet alle Objekte mit Validierungsmeldungen in einer übersichtlichen Tabelle auf.
    Dadurch können Fehler entweder während der Eingabe direkt behoben oder zu einem späteren Zeitpunkt kollektiv korrigiert werden.
  • verinice.PRO: Trennen und Verbinden vom Server
    Die neue Funktion "Serververbindung trennen" öffnet einen Dialog, in dem Organisationen und IT-Verbünde ausgewählt werden können. Die ausgewählten Objekte werden in die lokale Derby-DB übernommen. Der Client wird beendet und im Standalone-Modus automatisch neu gestartet.
    Auf dieselbe Weise kann die Verbindung zum Server wiederhergestellt und die ausgewählten Objekte zurück synchronisiert werden. Dadurch ist ein komfortabler Wechsel zwischen dem Arbeiten im Online- und Offline-Modus möglich.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • web.xml
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Mullaghmore

Neu in diesem Release

  • Greenbone GSM Import: ab sofort können die Ergebnisse des Greenbone GSM Schwachstellenscanners nach verinice importiert und im Rahmen von Risikoanalysen oder zur Nachverfolgung der Behebung von Schwachstellen weiter verwendet werden.
  • Benutzerdefinierte Bausteine und Maßnahmen: eigene Bausteine und Maßnahmen können in der Grundschutz-Ansicht nun einfach über das Kontextmenü erzeugt werden. Über die Exportfunktion können diese Bausteine auch anderen Anwendern zur Verfügung gestellt werden.
  • Workflow: ab sofort können Anwender von verinice.PRO mit der neuen Workflow-Engine Aufgaben frei definieren, den Verantwortlichen zuweisen und die Bearbeitung verfolgen. Über diese neue Funktion sind frei definierbare Prozesse z.B. zur Umsetzung von Maßnahmen, der Bestimmung von Schutzbedarfsstufen, der Freigabe von Dokumenten und viele andere Abläufe realisierbar.
    Dokumente und andere Datei-Anhänge können an Aufgaben angehängt werden und mit diesen übergeben oder auch als Nachweise eingefordert werden.
    verinice.PRO überwacht die Umsetzungstermine und versendet bei Bedarf Benachrichtigungen und Erinnerungen per Email.
    Als besonders unterstützte Workflows sind zusätzlich die Funktionen "Fehler melden" sowie "ISA Audit Workflow" enthalten, die das einfache Sammeln und Bearbeiten von Feedback sowie die Durchführung interner Audits im Rahmen des ISMS-Prozesses ermöglichen.
  • Die Mac OS X Version ist jetzt voll funktionsfähig und verlässt den Beta-Status.
  • Bildvorschau für Anhänge: für alle als Attachment bei Objekten angehängten Bilder kann nun direkt in der Datei-Ansicht ein Vorschaubild angezeigt werden.
  • Kommentar für Verknüpfungen: Verknüpfungen zwischen Objekten können nun zusätzlich zum Verknüpfungstyp mit einem individuellen Kommentar versehen werden.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • veriniceserver-plain.properties

Diese Datei wird beim Update nicht aktualisiert. Die Datei aus der neuen Version wird gespeichert als veriniceserver-plain.properties.rpmnew

  • web.xml
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Eisbach

Neu in diesem Release

  • Der Export großer IT-Verbünden und Organisationen läuft schneller.
  • Das Webfrontend ist umgestellt auf neue Oberflächenelemente und ist dadurch kompatibel mit noch mehr Browser-Versionen. (verinice.PRO)
  • Wird beim Import die Option Integrieren ausgewählt, werden jetzt auch Verknüpfungen importiert (Bugfix)
  • Der allgemeine CSV-Import funktioniert wieder (Bugfix)
  • Beta: Im Webfrontend können jetzt in einer neuen Ansicht alle ISO 27000 Elemente bearbeitet werden (verinice.PRO)

Hinweise zum Update

Das Datenbankschema hat sich verändert. Das Update des Schemas wird von verinice automatisch durchgeführt.

Fehler in der Konfiguration

Es gibt einen Fehler in der Konfiguration auf dem Server. Betroffen sind nur Installation, bei denen die Authentifizierung auf ActiveDirectory bzw. LDAP umgestellt ist.

Bitte korrigieren Sie auf dem Server folgende Datei:

/usr/share/tomcat6/webapps/veriniceserver/WEB-INF/classes/sernet/gs/server/spring/veriniceserver-security-plain-ldap.xml

In Zeile 27 ersetzen Sie bitte /tedit/** durch /edit/**

Geänderte Bibliotheken auf dem verinice.PRO Server

Wenn der Server nicht mit Hilfe von RPM und YUM aktualisiert wird, müssen im Application-Server Tomcat Bibliotheken ausgetauscht werden.

Entfernt werden müssen die Dateien:

  • <TOMAT_HOME>/lib/jsf-api-1.2_12.jar
  • <TOMAT_HOME>/lib/jsf-impl-1.2_12.jar

Installiert werden müssen die Dateien im Ordner <TOMAT_HOME>/lib/:

Wenn RPM Pakete benutzt werden, werden die Bibliotheken automatisch ausgetauscht.

Geänderte Konfigurationsdateien

  • web.xml
  • faces-config.xml
  • SNCA.xml, snca-messages.properties, snca-messages_de.properties
  • verinice-auth-default.xml, verinice-auth-messages.properties, verinice-auth-messages_de.properties
  • veriniceserver-common.xml

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Jeffreys Bay

Neu in diesem Release

  • ISA-Konsolidator: Die Ergebnisse bereits abgeschlossener IS-Assessments können in neue Audits übernommen werden.
  • Upload und Download von Dateianhängen im Workflow-Webfrontend (verinice.PRO)
  • Verkleinern, Vergrößern und Ausblenden des Verknüpfungsbereichs im Editor möglich
  • Nach dem Import können Objekte automatisch integriert werden.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • web.xml
  • verinice-auth-default.xml
  • verinice-auth-messages.properties
  • verinice-auth-messages_de.properties 

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Bells Beach

Neu in diesem Release

  • Alle Ansichten können mit dem aktiven Editor verknüpft werden. Wird ein Editor ausgewählt, so werden in den Ansichten Informationen über das zugehörige Objekt angezeigt.
  • Der Login-Name des angemeldeten Benutzers wird in der Titelleiste angezeigt (verinice.PRO).
  • VDA Information Security Assessment: Der Umsetzungsstatus von verknüpften Maßnahmen kann aus dem Reifegrad der Fragen abgeleitet werden.
  • Der Titel von Editoren wird nach dem Speichern aktualisiert, wenn er verändert wurde.

Hinweise zum Update

Geänderte Konfigurationsdateien
  • SNCA.xml
  • snca-messages.properties
  • snca-messages_de.properties
  • verinice-auth-default.xml
  • verinice-auth-messages.properties
  • verinice-auth-messages_de.properties

Beim Update werden diese Dateien überschrieben. Falls eine Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter DATEI_NAME.rpmsave. Nach dem Update müssen die Änderungen aus der Sicherung in die neue Version übernommen werden.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Teahupo'o

Neu in diesem Release

  • In verinice.PRO sind nun Benutzerprofile definierbar. Um verinice.PRO Nutzern einen schnellen Überblick zu ermöglichen, haben wir für Sie eine zusätzliche Seite mit Informationen eingerichtet, klicken Sie bitte hier. Zusätzlich beachten Sie bitte die Hinweise im Handbuch auf Seite 44
  • Verbesserte Mandantenfähigkeit in verinice.PRO
  • Gefährdungen und Maßnahmen aus den IT-Grundschutz-Katalogen können auch für ISO 2700x als Controls und Szenarien verwendet werden.

Hinweise zum Update

Das Datenbankschema hat sich verändert. Das Update des Schemas wird von verinice automatisch durchgeführt. Dadurch kann das erste Starten der Anwendung nach dem Update länger dauern als gewöhnlich.

Geänderte Konfigurationsdateien

web.xml (Verz.: /usr/share/tomcat6/webapps/veriniceserver/WEB-INF/)

Beim Update wird diese Datei überschrieben. Falls die Datei vorher verändert wurde, wird die geänderte Version der Datei gesichert unter dem Namenweb.xml.rpmsave. Nach dem Update müssen die Änderungen aus web.xml.rpmsave in die neue Version übernommen werden. Dieser Hinweis ist wichtig für alle Anwender, die die Authentifizierung auf Active Directory bzw. LDAP umgestellt haben.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien.  

Codename: Mavericks

Neu in diesem Release

  • Die Geschwindigkeit der Anwendung wurde an mehreren Stellen verbessert, z.B. bei Copy and Paste, beim Import und dem Speichern von Elementen.
  • Der Import aus dem GSTOOL wurde aktualisiert und verbessert und ist jetzt auch mit der Standalone-Variante möglich.
  • verinice-1.4.1 gibt es jetzt als Beta Version für Mac OS X.
  • Ausgabeformate für Reports: OpenDocument-Text und OpenDocument-Spreadsheet für OpenOffice und LibreOffice
  • Bausteine in der Grundschutzansicht können per Cut and Paste verschoben werden
  • ISO 27001 Reports: Statement of Applicability und Inventory of Assets
  • Ausführlicher Report für VDA Information Security Assessments (ISA)
  • Report Control Maturity mit Diagrammen
  • Überarbeitete BSI Grundschutz Reports
  • Alle ISO 27001 Elemente enthalten jetzt eine Property für externe Links.
  • Der ActiveDirectory Import Dialog wurde überarbeitet
  • Die Eclipse Rich Client Platform, auf der verinice aufbaut, wurde auf Version 3.7 aktualisiert.

Hinweise zum Update

Unter Umständen erscheint beim ersten Start nach dem Update eine Fehlermeldung. Starten Sie in diesem Fall verinice neu.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Ericeira

Neu in diesem Release

  • Report Ausgabeformate Word und Excel
  • Dateianhänge aller Elemente werden exportiert und importiert
  • verinice.PRO: Emailadressen von Benutzern werden aus dem ActiveDirectory importiert
  • verinice.PRO: Auch beim gleichzeitigen Zugriff von vielen Benutzern ist keine neue Anmeldung mehr erforderlich (Bugfix)
  • verinice.PRO: Zugriff unprivilegierter Benutzer auf Oracle Datenbanken ist wieder möglich (Bugfix)

Hinweise zum Update

Das Datenbankschema hat sich verändert. Das Update des Schemas wird von verinice automatisch durchgeführt. Dateianhänge, die gelöschten Objekten zugeordnet waren, werden dabei gelöscht.

Bitte beachten Sie auch die allgemeinen Hinweise zum Update von Konfigurationsdateien

Codename: Hossegor 

Neu in diesem Release

  • Verbesserung der Vererbung der Business Impact Werte für ConfidentialityIntegrity und Availability (Bugfix)
  • Der Import von Controls aus Katalogen in das Information Security Model per Drag and Drop ist wieder möglich (Bugfix)
  • Die Risikoanalyse nach ISO 27005 wurde verbessert (Bugfix)
  • Verbesserung der farblichen Markierung im Report Risikobewertung: Assets (Bugfix)
  • In den Editor-Einstellungen sind beim ersten Programmstart alle Eingabefelder ausgewählt. 
    Wichtig: Die Einstellungen müssen einmalig aktiviert werden. Wählen Sie im Menu: Bearbeiten -> Einstellungen... und danach im Dialog: Editor Einstellungen -> Anwenden

Hinweise zum Update

geänderte Konfigurationsdateien

(Bitte beachten Sie die allgemeinen Hinweise zum Update von Konfigurationsdateien.)

  • SNCA.xml
  • snca-messages.properties
  • snca-messages_de.properties

Codename: Waimea

Neu in diesem Release

  • Überarbeitete Reports, z.B. für Risk Treatment und Grundschutz-Referenzdokumente, teilweise mit Diagrammen
  • Neue Eingabefelder, z.B. für BCM
  • Automatische Zuordnung von Spalten beim CSV-Import
  • bessere Sortierung von Elementen in mehreren Auswahldialogen
  • zuschaltbare Anzeige von Ergebnissen für Security Assessments
  • Reports können für einzelne Audits ausgegeben werden
  • verinice.PRO: Benutzer können ausschließlich für Web-Zugriff, Rich.Client oder beides freigeschaltet werden
  • verinice.PRO: Anbindung und Import aus weiteren Directory-Diensten möglich (Open-LDAP, eDirectory...)
  • verinice.PRO: Anbindung an Active Directory nun auch über SSL
  • verinice.PRO: Überarbeitetes Layout für Webfrontend

Hinweise zum Update

geänderte Konfigurationsdateien

(Bitte beachten Sie die allgemeinen Hinweise zum Update von Konfigurationsdateien.)

  • verinice-ldap.properties
  • SNCA.xml
  • snca-messages.properties
  • snca-messages_de.properties
  • web.xml

LDAP

Die Datei verinice-ldap.properties im Ordner /usr/share/tomcat6/webapps/veriniceserver/WEB-INF/ hat sich verändert. Wenn sie verinice.PRO mit mit einem Active Directory oder LDAP Server verbunden haben, müssen sie nach dem Update alle Einstellungen aus der gesicherten alten Datei verinice-ldap.properties.rpmsave in die neue Datei übernehmen.

Wenn sie verinice.PRO mit mit einem Active Directory Server per SSL (Secure Channel) verbunden haben, müssen Sie in der Datei verinice-ldap.properties die Einstellung ldap.protocol=ldap umstellen auf ldap.protocol=ldaps.  


English languageDeutsche Sprache
© SerNet GmbH, 2017