Sponsoren

Ort

Digital via Zoom

Datum

22. - 24.02.2022

verinice.XP 2022 – Digital!

Die verinice.XP ist die Konferenz für AnwenderInnen des OpenSource ISMS-Werkzeugs verinice.

Das Organisationskomitee hat sich nun aufgrund der aktuellen COVID-19 Lage dazu entschieden, die verinice.XP am 23. Februar 2022 noch einmal in digitaler Form auszurichten. Aus gegebenem Anlass verkürzt sich in diesem Jahr die Konferenz auf einen Tag.

Trotz der erneuten virtuellen Durchführung werden wieder spannende Themen auf der Agenda stehen und auch wegweisende Neuerungen in verinice ihren Platz im Online-Programm haben.

Angesprochen sind IT-EntscheiderInnen, Sicherheitsverantwortliche und Datenschutzbeauftragte von Firmen, Institutionen und Behörden.

Die ReferentInnen halten Ihre Vorträge live via Zoom, so dass Interessierte die Konferenz flexibel von jedem beliebigen Standort aus über das Internet verfolgen können.

Die Tickets für die Konferenz sind kostenfrei aber begrenzt verfügbar - Bitte registrieren Sie sich.

Auch die beliebten Workshops am Vortag der Konferenz werden als remote-Session angeboten - Weiter Informationen finden Sie in der Agenda. Die Teilnahme ist auch unabhängig von der Konferenz möglich.

Die Konferenz wird aufgezeichnet und unter Zustimmung der ReferentInnen anschließend auf unserem YouTube Kanal veröffentlicht.

Zugangsdaten sowie weitere Informationen rund um das diesjährige digitale Event erhalten die TeilnehmerInnen im Laufe des Februars.

Wir freuen uns schon jetzt auf Ihre Teilnahme sowie eine erfolgreiche digitale verinice.XP 2022!

 

Anmeldung

Bitte vergeben Sie im Rahmen der Registrierung kein Passwort. Wenn Sie ein Passwort vergeben, erstellen Sie sich automatisch einen Xing-Account, welcher jedoch für eine Registrierung und die Teilnahme an der verinice.XP nicht nötig ist.

Die Anmeldung zu unserer Veranstaltung erfolgt über Xing-Events. Zweck und Umfang der Datenerhebung durch XING-Events sowie die dortige weitere Verarbeitung und Nutzung Ihrer Daten wie auch Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatssphäre entnehmen Sie bitte den Datenschutzhinweisen der Xing-Events GmbH.

 

verinice.WORKSHOP 1: Umsetzung des modernisierten Grundschutzes in verinice

In diesem Workshop wird ein ISMS für eine einfache Institution mit verinice dokumentiert.

Zunächst werden nach der Vorgehensweise des BSI-Standards 200-2 die Struktur des Informationsverbundes in verinice erstellt, die Zielobjekte verknüpft und der Schutzbedarf dokumentiert. Nach der Modellierung der erforderlichen Prozess- und System-Bausteine erfolgt für ausgewählte Objekte ein Grundschutz-Check, der den Stand der Umsetzung der Grundschutz-Anforderungen in verinice dokumentieren soll.

Anschließend wird für ein Zielobjekt eine Risikoanalyse nach BSI-Standard 200-3 in verinice dokumentiert. Hierfür kommt auch ein benutzerdefinierter Baustein zum Einsatz. Abschließend können die für die Zertifizierung erforderlichen Referenzdokumente A1 bis A6 als Report erzeugt werden.

Für die aktive Teilnahme am Workshop stellen wir Ihnen eine aktuelle verinice-Einzelplatzversion zum Download bereit.

Voraussetzungen:

Die TeilnehmerInnen sollten Grundkenntnisse in Informationssicherheit mitbringen. Kenntnisse der Bedienung von verinice werden nicht vorausgesetzt.

verinice.WORKSHOP 2: Umsetzung der EU-DSGVO mit verinice

Mit der EU-DSGVO sind zahlreiche Anforderungen an die Verarbeitung personenbezogener Daten definiert worden. Die bedeutendste Neuregelung stellt sie sog. Rechenschaftspflicht dar, normiert in Art 5. Abs.2 DS-GVO. Hiernach müssen Unternehmen gegenüber der zuständigen Aufsichtsbehörde nachweisen, dass die Anforderungen aus der EU-DSGVO eingehalten wurden. Bei Verstößen drohen empfindliche Geldbußen.

Im Rahmen des Workshops lernen die TeilnehmerInnen wie sie mit dem Datenschutzmodul in verinice ihren Dokumentations- und Rechenschaftspflichten nachkommen können. Themen sind dabei u.a. Verzeichnis der Verarbeitungstätigkeiten, Dokumentation der technischen und organisatorischen Maßnahmen, Auftragsverarbeitung, Durchführungder Datenschutz-Folgenabschätzung sowie die Dokumentation von Datenschutzvorfällen.

Für die aktive Teilnahme am Workshop stellen wir Ihnen eine aktuelle verinice-Einzelplatzversion zum Download bereit.

Voraussetzungen:

Die TeilnehmerInnen sollten Grundkenntnisse in der Bedienung von verinice mitbringen.

Begrüßung

KeyNote

Neuerungen im B3S Gesundheitsversorgung im Krankenhaus mit Fokus auf Telematik / Informationssicherheit in Krankenhäusern - Starterpaket § 75c SGB V

Impulsvortrag

Mit ganzheitlicher Planung zu organisationaler Resilienz

Pause

Security Management im Krankenhaus braucht integrierte Arbeitsabläufe -Ein praktischer Blick auf die Integration der Open Source-Tools verinice und KIX

Einschlägige Beispiele zeigten in den letzten Monaten, wie wichtig ein
funktionierendes Sicherheitsmanagement in Krankenhäusern (KH) nicht nur auf technischer, sondern auch auf organisatorischer Ebene ist. Betraf dies bis vor Kurzem eher größere KH, wird seit Novellierung des SGB V von allen KH die Etablierung von Information Security Management (ISM) ab 01.01.22 gefordert. KH und insbes. die IT-Abteilungen sind in der Pflicht, notwendige Maßnahmen umzusetzen, damit ISM nicht nur theoretisch betrachtet, sondern auch praktisch mit Arbeitsabläufen, IT-Unterstützung und Dokumentation untersetzt ist.


IT Service Management (ITSM), basierend auf ITIL, hat sich international etabliert und ist anerkannt. Ein Teil von ITIL sind Abläufe des Security Managements sowie des ISM. Um die Entscheidungs- und Gestaltungsfreiheit der IT-Abteilungen und des Krankenhauses selbst zu behalten, treten Open Source-Softwarelösungen ins Blickfeld. KIX ist eine solche OpenSource-Software für ITSM und durch umfassende Workflow-Zertifizierung geeignet. verinice ist auf ISM fokussiert und beinhaltet u.a. die Implementierung des branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus (B3S Krankenhaus).

Eine der wichtigsten Informationsquellen für die IT-Abteilung ist die Asset- u.
Configuration Management Database (CMDB). Durch das KRITIS-Programm des Bundes zum Schutz kritischer Infrastrukturen und jetzt durch die Forderungen des SGB V, nähern sich physischer Schutz und IT-Sicherheit an. Technisches Equipment wächst zusammen, die CMDB und darauf aufbauende Arbeitsabläufe rücken stärker in den Focus.

Anhand praktischer Beispiele wird die Integration von KIX und verinice im konkreten Kontext des ISM eines Krankenhauses erläutert. Unter dem Gesichtspunkt der Zusammenführung aller Informationen für Sicherheitsmanagement und Audits, wird die Integration der Abläufe im
Security Management in die des klassischen IT-Service aufgegriffen. Auf die technische Integration der CMDB zur Modellierung des IT-Verbundes bzw. der IT-Organisation wird eingegangen. Möglichkeiten zur Schutzbedarfsfeststellung und darauf basierender Risikobewertung sowie die Ableitung umzusetzender Sicherheitsmaßnahmen werden aufgezeigt. Ebenso die technische Integration von KIX und verinice in die umgebende IT-Landschaft, in Überwachungssysteme, Server- und Clientmanagement-Lösungen.

Penetrationstests als Teil eines ISMS - Grundlagen, Relevanz und mögliche Ansätze

Verschiedene ISMS-Standards haben meist auch verschiedene Anforderungen.
Überschneidungen gibt es jedoch immer. So auch bei dem Thema Penetrationstests.

Die ISO 27001 fordert Prüfungen wie beispielsweise Penetrationstests eher implizit im Control A.18.2.3 ("Überprüfung [...] technischer Vorgaben").

Der IT-Grundschutz des BSI ist hier beispielsweise etwas konkreter und fordert im Rahmeneiniger Grundschutz-Bausteine Penetrationstests als explizite Anforderungen (z. B. bei Webanwendungen: APP.3.1.A22).

Im Rahmen des Vortrags soll aus der Sicht eines ISMS-Beraters und Penetrationstesters zu Beginn erläutert werden, was ein Penetrationstest eigentlich ist, wie ein typisches Projekt abläuft bzw. ablaufen sollte, welche Vorteile ein Penetrationstest überhaupt bietet und welche Fallstricke es möglicherweise geben könnte. Darauf aufbauend werden verschiedene Beispiele und Anwendungsfälle aus Standards herangezogen und in Bezug auf
sinnvolle Umsetzungsmöglichkeiten beleuchtet. Abschließend sollen grundsätzlich sinnvolle Ansätze aufgezeigt werden, wie die Thematik
Penetrationstests in ein ISMS eingebunden werden und was sich durch ein gutes Zusammenspiel der beiden Themen ergeben kann.

Mittagspause

Datenschutz mit dem verinice.veo Datenschutzmanager

Cloud Compliance in verinice - M365 Compliance Manager

Sernet stellt den Cloud Computing Compliance Controls Catalogue (C5) als Modul bereit, der für viele Kunden momentan wichtige Anhaltspunkte zur Absicherung ihrer Cloud Strategie bietet.

Für Sicherheits- und Datenschutzbeauftragte stellt sich oft die Frage, wie im Detail die Sicherheit der Cloud Services bewertet werden kann. Die automatisierte Übernahme des M365 Compliance Manager Reports in Verinice könnte dazu ein hilfreicher Schritt sein.

Abbildung des IKfz3-Verfahrens in verinice

Die Sicherheitsanforderungen an die Zulassungsstellen für den Betrieb der iKfz-Verfahren sind enorm und damit die organisatorischen und technischen Sicherheitsanforderungen an den IT-Betrieb entsprechend komplex. Eingebunden sind die IT-Verfahren und IT-Systeme im Regelfall im IT-Management der Gemeinde.

Wie stellt der Verantwortliche also seinen Informationsverbund iKfz3 entsprechend den Vorgaben dar? Wie weist der Verantwortliche gegenüber den Auditoren die Umsetzung der Sicherheitsanforderungen nach?

Verinice kann hier die Lösung sein.

Pause

Analyse des IT-Grundschutzstandards mit Graphendatenbanken

Die Compliance-Verantwortlichen in Unternehmen und Behörden sind mit einer zunehmenden Anzahl von Standards und Best Practices konfrontiert. Während staatlich finanzierte und staatlich geduldete Cyber-Angriffe weiter zunehmen, werden auch gesetzliche und regulatorische Anforderungen entsprechend zunehmen. Dadurch steigt die Anzahl an umzusetzenden Controls, die Assessment-Zyklen werden kürzer und die Umsetzung von Maßnahmen muss mit hoher Granularität bis hinunter zu einzelnen Control-Aussagen für spezifische Systeme oder gar Systemkomponenten nachweisbar sein.

Der zunehmenden Arbeitsbelastung kann mit Automatisierung begegnet werden. Dabei stellen sich Probleme, die für gängige Technologien zur Herausforderung werden. Der hohe Grad an Beziehungen in Maßnahmenkatalogen wie dem IT-Grundschutz oder dem NIST 800-53 führt bei Abfragen über 4 oder mehr Rekursionsebenen schnell zu Ergebnismengen, die mit relationalen Datenbanken schwer zu verarbeiten sind. Neue Ansätze versprechen hier Lösungen. Ein solcher Ansatz ist die Verwendung moderner Open Source-Graphendatenbanken.

Der Grundschutzstandard wird vom verinice-Team bereits in ein maschinenlesbares Format umgewandelt. Dieses Format kann konvertiert und für Graphendatenbanken nutzbar gemacht werden. Dadurch entstehen neue Auswertungsmöglichkeiten und neue Erkenntnisse, die im Vortrag mit Hilfe der Community-Version der Neo4J-Datenbank live präsentiert werden.

Zusammenspiel von Geheimschutz und Informationssicherheit

Das BSI hat einen Community Draft zur Ergänzung von Informationssicherheitskonzepten nach BSI IT-Grundschutz um Geheimschutz-Anforderungen mit dem Titel „CON.11.1 Geheimschutz VS - Nur für den Dienstgebrauch“ herausgebracht.

Enthält dieser wirklich Neues oder doch nur alten Wein in neuen Schläuchen? Schließlich basiert bereits das IT-Grundschutzkompendium auf elementaren Gefährdungen wie u.a. G 0.14 Ausspähen von Informationen (Spionage), G 0.15 Abhören, G 0.19 Offenlegung schützenswerter Informationen usw.

In diesem Vortrag soll der Versuch unternommen werden zu zeigen, welche der Anforderungen dieses neuen Kompendiums-Bausteins sich bereits in anderen Bausteinen wieder finden und welche Anforderungen direkt ein Informationssicherheitskonzept um die Anforderungen der VSA ergänzen.

Verinice hat sich hier als gutes Tool für ein Mapping zwischen IT-Grundschutz und dem Geheimschutz erwiesen.

verinice Roadmap (verinice & verinice.veo)

„Content is King" - unter diesem Motto wird verinice auch im Jahr 2022 weiter entwickelt. Während die technische Entwicklung stark auf die neue rein web-basierte Version "verinice.veo" fokussiert ist, arbeitet das Fachteam unter Leitung von Michael Flürenbrock daran, weitere Inhalte in neuen Modulen für verinice bereitzustellen.

Michael Flürenbrock gibt einen Einblick in den aktuellen Stand sowie die weitere Planung rund um verinice/verinice.veo.

 

Schlusswort

Programmkomitee

  • Michael Flürenbrock - SerNet
  • Volker Jacumeit - DIN
  • Boban Kršić - Fresenius
  • Isabel Münch - BSI
  • Jens Syckor - TU Dresden

Veranstaltungskoordination

Die veriniceXP ist eine Veranstaltung der SerNet GmbH.

Für Fragen zur verinice.XP steht Ihnen Frau Nadine Dreymann, SerNet GmbH gerne zur Verfügung.

Kontaktieren Sie bitte die Koordinationsstelle via kontakt@remove-this.verinicexp.org

Impressum

Die verinice.XP wird organisiert von SerNet.

Verantwortlich für den Inhalt:

Gesellschaft: SerNet Service Network GmbH
Postadresse: Bahnhofsallee 1b, 37081 Göttingen
E-Mail:kontakt@remove-this.sernet.de

Handelsregister: HR B 2816, Amtsgericht Göttingen
USt.ID: DE186981087

Geschäftsleitung: Dr. Johannes Loxen, Reinhild Jung

Telefon: +49 551 370000-0
Fax: +49 551 370000-9

Datenschutzerklärung / data protection declaration