Dieser Workshop vermittelt wesentliche Kenntnisse für die Planung und erfolgreiche Umsetzung des BSI IT-Grundschutzes in der eigenen Organisation mit der neuen webbasierten Version des OpenSource-Tools verinice. Es handelt sich um einen praktischen Workshop, bei dem die Teilnehmenden die betrachteten Inhalte direkt im bereitgestellten Client eigenständig umsetzen können.
Ort
Radisson Collection Hotel, BerlinDatum
19. & 20. Februar 2025
verinice.XP – Die Konferenz!
Die verinice.XP ist die Konferenz für Informationssicherheit und Datenschutz mit dem Open-Source-Tool verinice.
Am 19. & 20. Februar 2025 steht wieder die Relevanz von Informationssicherheit und Datenschutz für die gesamte Organisation im Mittelpunkt. Aber natürlich werden auch aktuelle weitere Themen, wie z.B. die NIS2-Umsetzung nicht zu kurz kommen. Ebenfalls wird das "verinice der nächsten Generation" im Fokus stehen: Die technologische Plattform verinice.veo vereint die bewährte fachliche Stärke von verinice mit neuester Webtechnologie.
Die Konferenz findet im Radisson Collection Hotel in Berlin statt.
Angesprochen sind IT-Entscheider*innen, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden.
Am Tag vor der Konferenz (Dienstag, 18. Februar 2025) finden zusätzlich wieder vertiefende Workshops zu ausgewählten verinice-Themen statt. Kleine Gruppen (max. 10 Teilnehmende) ermöglichen einen intensiven Austausch mit den Dozierenden und anderen Teilnehmenden zum bestmöglichen Einsatz von verinice. Die Buchung eines Workshops ist auch unabhängig von einer Konferenzteilnahme möglich. Weitere Informationen zu diesen Angeboten folgen.
Wir freuen uns schon jetzt auf Ihre Teilnahme!
Konferenzprogramm
Workshop 2: BSI IT-Grundschutz in verinice
Dieser Workshop vermittelt wesentliche Kenntnisse für die Planung und erfolgreiche Umsetzung des BSI IT-Grundschutzes in der eigenen Organisation mit der OpenSource-Software verinice. Es handelt sich um einen praktischen Workshop, bei dem die Teilnehmenden die betrachteten Inhalte direkt im bereitgestellten Client eigenständig umsetzen können.neam IT-Services GmbH
Workshop 3: ISMS-Dokumentation: Hyperlinkfähige Umgebung in verinice und verinice.veo
Dieser Workshop vermittelt die Erstellung und Verwaltung einer ISMS-Dokumentation zwischen den verschiedenen Dokumentationsplattformen wie Sharepoint und confluence und der ISMS Plattformen verinice und verinice.veo. Teilnehmende lernen, wie sie die Dokumentation eines Informationssicherheitsmanagementsystem (ISMS) effizient aufbauen, strukturieren und pflegen können, indem sie Dokumente und Inhalte mithilfe der Boardmittel von verinice und verinice.PRO untereinander verbinden. Folgende Fragen sollen an Beispielen geklärt werden: Wo dokumentiere ich was? Wie halte ich meine Dokumentierten Informationen aktuell? Welches System hält welche Informationen? Wie sind diese Informationen sinnvoll verbunden?
Workshop 4: Datenschutz in verinice - mit Einblicken in NIS2
Mit der EU-DSGVO sind zahlreiche Anforderungen an die Verarbeitung personenbezogener Daten definiert worden. Eine der wichtigsten Neuregelung ist hierbei die sog. Rechenschaftspflicht, normiert in Art 5. Abs.2 DS-GVO. Hiernach müssen Unternehmen gegenüber der zuständigen Aufsichtsbehörde nachweisen, dass die Anforderungen aus der EU-DSGVO eingehalten wurden. Abschließend erhalten die Teilnehmenden einen praktischen Exkurs in NIS2. In diesem Workshop wird Datenschutzbeauftragten anhand von Praxisbeispielen vermittelt, wie sie ihren Rechenschaftspflichten mithilfe des webbasierten Tools verinice nachkommen können.
Begrüßung
Keynote Fortentwicklung des IT-Grundschutzes zu IT-Grundschutz++
Praxisnah und flexibel. Schon 1994 war dies der Grundgedanke für die IT-Sicherheitsempfehlungen, als die erste Ausgabe des IT-Grundschutzhandbuches herauskam. Drei Jahrzehnte später hat sich nicht nur die Welt um den IT-Grundschutz geändert, sondern auch der IT-Grundschutz selbst. Er wurde mehrfach vollständig überarbeitet, so dass er jederzeit als Werkzeug genutzt werden kann, um Informationssicherheit in Institutionen zu schaffen und aufrechtzuhalten.
Auch zum derzeitigen Zeitpunkt wird der IT-Grundschutz agil unter dem Stichwort "IT-Grundschutz++" mit den Zielen weiterentwickelt, den Umfang und die bei der Umsetzung entstehenden Dokumentationsaufwände auf das notwendige Mindestmaß zu reduzieren, eine Priorisierung der Anforderungen vorzunehmen, Leistungskennzahlen aus den erfüllten Anforderungen zu errechnen sowie die Anwendung von Automatisierungstools weitestgehend zu ermöglichen.
Die Keynote wird die Vision von IT-Grundschutz++ zeigen sowie über den aktuellen Stand der agilen Weiterentwicklung informieren und einen Ausblick geben, was den zukünftigen IT-Grundschutz auszeichnen wird.
Prototyp IT-Grundschutz++ in verinice.veo
Maschinenlesbar, automatisierbar und agil soll der neue IT-Grundschutz++ werden. Das verinice.Team stellt einen ersten Prototypen in der neuen Produktgeneration verinice.veo vor und erläutert die grundlegenden Konzepte der Neuerungen.
Pause
Richtlinien sind gefüllte Lückentexte
Wie sich die Erstellung von Richtlinien (teil-) automatisieren lässt.
Für unsere Organisationen brauchen wir Bündel von Richtlinien. Allein für die ISO 27001 ca. 30 und für den aktuellen Grundschutz über 50. Dazu kommen dann noch Arbeitsschutz, Qualitätsmanagement und eine Vielzahl von Compliance-Themen. Die Erstellung und Pflege dieser Vorgaben binden mehr Ressourcen als eigentlich für die Aufgabe verfügbar.
Wie kann aus zentralen Vorgaben, in verinice.veo bereits erfassten Daten und einer Prise KI dieser Prozess beschleunigt und automatisiert werden?
Vorteile einer offenen API: Workflow Anbindung für verinice.veo
Ein entscheidender Vorteil von verinice.veo liegt in der offenen API, die eine nahtlose Integration mit verschiedenen Third-Party-Tools und Plattformen ermöglicht. Dieser Vortrag demonstriert die Integration mit der leistungsstarken Open Source Workflow-Engine "Windmill" und hebt deren Mehrwert für Informationssicherheitsbeauftragte und Datenschützer hervor.
Wir demonstrieren, wie Workflows gezielt eingesetzt werden, um zentrale Aufgaben zu automatisieren, wie etwa die Umsetzung und Prüfung von Controls, das Erfassen und Verwalten von Assets sowie die effiziente Bearbeitung von Sicherheitsvorfällen. Die Teilnehmer erhalten praxisnahe Einblicke wie wiederkehrende Tätigkeiten durch Automatisierung optimiert werden können, um die Effektivität und Effizienz ihres ISMS/DSMS zu steigern.
Pause
Umsetzung des B3S Krankenhaus im Sächsischen Krankenhaus Rodewisch - Ein Projekterfahrungsbericht
Krankenhäuser sind nach SGB V § 391 verpflichtet, nach dem Stand der Technik angemessene Vorsorge zu treffen, um Ausfälle oder eine Beeinträchtigung des Krankenhausbetriebs zu vermeiden. Diese Verpflichtung kann durch Anwendung des Branchenspezifischen Sicherheitsstandards (B3S) erfüllt werden. Außerdem verpflichtet das Sächsische Informationssicherheitsgesetz das Sächsische Krankenhaus Rodewisch als staatliche Einrichtung zur Anwendung des BSI Grundschutzes.
Unter diesen Gesichtspunkten wurde im Rahmen des Krankenhauszukunftsgesetzes (KHZG) ein Projekt gestartet, um ein B3S- und BSI-Grundschutz konformes ISMS aufzubauen und zu etablieren. Dabei konnte auf die seit Jahren im Einsatz befindliche Open-Source-Lösung KIX als CMDB aufgesetzt werden. Für die ISMS-Dokumentation sollte mit verinice ebenfalls eine Open-Source-Lösung zum Einsatz kommen. Durch die Kopplung von CMDB und ISMS über eine Schnittstelle werden Synergien genutzt.
Der Vortrag behandelt die Herangehensweise, die Projektumsetzung und die Gestaltung der Schnittstelle zwischen ISMS und CMDB. Dabei werden insbesondere die Zuordnung von Grundschutz-Zielobjekten in verinice zu Configuration Items in der KIX-CMDB, die Einbindung von Medizin- und Versorgungstechnik sowie die Workflows zur Bearbeitung von Grundschutz-Anforderungen als Ticket und die Einbindung des externen ISB vorgestellt.
Mapping von IT-Grundschutz und NIS2 in verinice für die öffentliche Verwaltung
Die Informationssicherheit steht durch die Anforderungen der NIS2-Richtlinie vor Herausforderungen. Eine Betroffenheit der öffentlichen Verwaltung wird zunehmend diskutiert. Bei einem vorhandenen Informationssicherheitskonzept nach IT-Grundschutz lassen sich die Anforderungen der NIS2-Richtlinie mit überschaubarem Aufwand umsetzen. Wir geben Ihnen in unserem Vortrag einen Ausblick zur praktischen Umsetzung in verinice.
Social Event
NIS2: Von der gesetzlichen Anforderung in die praktische Umsetzung
Die NIS-2-Richtline soll in Deutschland durch das NIS2UmsuCG umgesetzt werden. Dieses neue Gesetz stellt mannigfaltige Anforderungen an die Unternehmen, die davon betroffen sind. Welche Anforderungen dies konkret sind und wie diese in der Praxis mit Hilfe von verinice im Unternehmen umzusetzen können, soll der Vortrag veranschaulichen.
Einführung von verinice in eine große Organisation - ein Projekterfahrungsbericht
Die Einführung eines neuen ISMS-Tools ist eine anspruchsvolle Aufgabe, die viele Herausforderungen mit sich bringt. In diesem Vortrag teilen wir unsere Erfahrungen aus einem umfangreichen Projekt, bei dem eine große Organisation diesen Schritt gewagt hat. Wir berichten über die Hürden, die wir überwinden mussten, und die Erkenntnisse, die wir dabei gewonnen haben. Ziel des Vortrags ist es, einen realistischen Einblick in einen Wechsel des ISMS-Tools zu geben und andere Organisationen von unseren Erfahrungen profitieren zu lassen.
Pause
ISO 27032 - Noch ein Managementsystem. Einordnung & Relevanz
ISO 27032 ist eine vergleichsweise neue Norm, die speziell auf die Herausforderungen der Cybersicherheit abzielt und sich durch einen praxisorientierten Ansatz auszeichnet. Der Standard versteht sich als Ergänzung zu bestehenden Frameworks wie der ISO 27001 und adressiert insbesondere die Zusammenarbeit zwischen verschiedenen Stakeholdern, um Bedrohungen effektiv zu begegnen. Dieser Vortrag ordnet die ISO 27032 im Kontext bestehender Sicherheitsstandards ein, beleuchtet die zentralen Inhalte der Norm und zeigt deren Potenzial zur Verbesserung der Cybersicherheitslandschaft auf.
Gleichzeitig wird kritisch hinterfragt, ob die ISO 27032 tatsächlich einen notwendigen Mehrwert bietet oder lediglich ein weiteres Element in der ohnehin komplexen Landschaft der Managementsysteme und Standards darstellt. Anhand praxisnaher Beispiele werden mögliche Redundanzen mit anderen Standards analysiert und die sinnvolle Integration in Unternehmen zur Optimierung der Sicherheitsstrategien entworfen.
Grafischer Netzstrukturplan aus der verinice-Strukturanalyse
Der BSI-Standard 200-2 geht bei der Strukturanalyse von einem "bereinigten Netzplan" aus. Auch KRITIS-Betreiber müssen nach GAIN einen Netzstrukturplan vorlegen, der die “Anlage” passend abstrahiert und verständlich beschreibt. Ein solcher Netzplan ist aber schwer zu bekommen. Die Netzwerker haben nur eine "Tapete" mit allen Switches – Server- und Client-Admins schicken einen wieder zu den Netzwerkern. Also ist selbst zeichnen angesagt… oder? Die im Netzplan darzustellenden Assets/Zielobjekte sind eigentlich schon verinice erfasst. Wenn die Verknüpfungen zweckmäßig angelegt sind, kann durch deren Export ein Graph automatisiert erstellt werden – und man spart sich das Zeichnen.
Pause
Visualisierung von Verknüpfungen in verinice.veo
Die offene API von verinice.veo ermöglicht eine umfassende grafische Visualisierung aller Verknüpfungen in Ihrem Informationssicherheitsmanagement. Risiken können beispielsweise mit Szenarien, Assets, Prozessen oder Informationsverbünden verknüpft und dargestellt werden. Ebenso lassen sich ein- und ausgehende Links zwischen Informationsverbünden übersichtlich abbilden. Der Vortrag behandelt diese flexible Visualisierung, die für alle Arten von Verknüpfungen gelten und einen klaren Überblick über Zusammenhänge und Abhängigkeiten bieten – eine wertvolle Unterstützung für effektives Risikomanagement und Entscheidungsprozesse.
verinice Roadmap
Innerhalb unseres Veranstaltungsangebots werden Funktionen und Inhalte des Dienstes pretix, angeboten durch rami.io GmbH, Berthold-Mogel-Straße 1, 69126 Heidelberg, Deutschland, eingebunden. Hierzu gehört der Ticketshop, welcher über ein JavaScript-Widget eingebunden ist. Wenn Sie ein Ticket kaufen, nutzt pretix ein technisch notwendiges Cookie, um den Bestellablauf zu ermöglichen und sich zu merken, welcher Warenkorb zu Ihnen gehört. Das Cookie wird gesetzt, sobald Sie mit dem Widget interagieren. pretix speichert keine IP-Adressen, Browser-Informationen oder andere unnötige Metadaten über die Dauer Ihrer Anfrage hinaus. Weitere Infos zum Datenschutz bei pretix entnehmen Sie bitte dem folgenden Link: https://pretix.eu/about/de/privacy.
Die Datenschutzbestimmungen der SerNet finden Sie unter https://www.sernet.de/datenschutz.
Kunden der Öffentlichen Hand oder Bildungseinrichtungen aus der Europäischen Union und der Schweiz können den Kauf auf Rechnung beantragen, bei dem die Bezahlung per Banktransfer nach dem Kauf auf ein Konto der SerNet erfolgt.
Kontaktieren Sie uns dazu bitte bei Bedarf via E-Mail an kontakt@verinicexp.org.
Programmkomitee
- Michael Flürenbrock - SerNet
- Volker Jacumeit - DIN
- Boban Kršić - Fresenius
- Isabel Münch - BSI
- Jens Syckor - TU Dresden
Veranstaltungskoordination
Die veriniceXP ist eine Veranstaltung der SerNet GmbH.
Für Fragen zur verinice.XP steht Ihnen Frau Friederike Rottmann, SerNet GmbH gerne zur Verfügung.
Kontaktieren Sie bitte die Koordinationsstelle via kontakt@verinicexp.org
© OpenStreetMap-Mitwirkende. Tiles style by Humanitarian OpenStreetMap Team
Impressum
Die verinice.XP wird organisiert von SerNet.
Verantwortlich für den Inhalt:
Gesellschaft: SerNet Service Network GmbH
Postadresse: Bahnhofsallee 1b, 37081 Göttingen
E-Mail:kontakt@sernet.de
Handelsregister: HR B 2816, Amtsgericht Göttingen
USt.ID: DE186981087
Geschäftsleitung: Dr. Johannes Loxen, Reinhild Jung
Telefon: +49 551 370000-0
