Sponsoren

Ort

Hotel FREIZEIT IN, Göttingen

Datum

22. - 23.02.2023

verinice.XP 2023 – Die Konferenz!

Die verinice.XP ist die Konferenz für Anwender*innen des OpenSource ISMS-Tools verinice.

Am 22. und 23. Februar 2023 standen thematisch die grundlegende Erneuerung der ISO 2700x-Familie, die Fortentwicklung des BSI IT-Grundschutzes, das Zusammenspiel mit dem Business Continuity Management und nicht zuletzt die Relevanz von Informationssicherheit für die gesamte Organisation im Mittelpunkt. Mit der Vorstellung der neuen Plattform verinice.veo und des neuen verinice DSMS haben auch wegweisende Neuerungen in verinice ihren Platz im Programm gefunden.

Auf die Workshops am Vortag der Konferenz fanden wieder großen Anklang. Kleine Gruppen haben den intensiven Austausch mit den Dozierenden und anderen Teilnehmenden zum bestmöglichen Einsatz von verinice ermöglicht. Auch an dieser Stelle nochmal herzlichen Dank an alle Dozierenden.

Die Aufzeichnungen der Vorträge finden Sie in unserem YouTube Channel und ebenso in unten stehender Agenda verlinkt. Auch die Slides der Vorträge stehen über die Agenda zum Download bereit.

Vielen Dank an alle Referentinnen und Referenten sowie Teilnehmerinnen und Teilnehmer für zwei Tage voller interessanter Vorträge, Diskussionen und Anregungen.

Wir freuen uns schon jetzt auf die verinice.XP 2024. Informationen folgen dann entsprechend an dieser Stelle.

Ihr verinice.XP Orga-Team

 

9:00 - 17:00 Workshop

verinice.WORKSHOP 1: Datenschutz mit dem neuen verinice DSMS - The Next Generation

Mit der EU-DSGVO sind zahlreiche Anforderungen an die Verarbeitung personenbezogener Daten definiert worden. Eine der wichtigsten Neuregelung ist hierbei die sog. Rechenschaftspflicht, normiert in Art 5. Abs.2 DS-GVO. Hiernach müssen Unternehmen gegenüber der zuständigen Aufsichtsbehörde nachweisen, dass die Anforderungen aus der EU-DSGVO eingehalten wurden. Bei Verstößen drohen empfindliche Geldbußen.

Das "verinice DSMS" wurde vom verinice-Team auf der neuen Web-Plattform "verinice.veo" geschaffen, die vollständig browserbasiert eine einfache und intuitive Umsetzung der datenschutzrechtlichen Anforderungen ermöglicht. Im Rahmen des Workshops lernen die Teilnehmer*innen, wie sie ihren Dokumentations- und Rechenschaftspflichten nachkommen können. Hierbei werden die wesentlichen Datenschutzprozesse anhand von Praxisbeispielen Schritt für Schritt erörtert und direkt im Tool modelliert. Themen sind u.a. das Verzeichnis der Verarbeitungstätigkeiten, die Abbildung der Auftragsverarbeitung, Datenschutzrisikoanalyse und Durchführung der Datenschutz-Folgenabschätzung mit Risiken aus dem DSGVO-Katalog sowie die Behandlung und Dokumentation von Datenschutzvorfällen.

Voraussetzungen:

Die Teilnehmer*innen sollten Grundkenntnisse in der DSGVO mitbringen. Kenntnisse der Bedienung von verinice/verinice.veo werden nicht vorausgesetzt.

Bitte beachten Sie, dass die Teilnahme über Ihr eigenes Endgerät erfolgt (Bring your own Device). Für die Teilnahme am Workshop ist die Erstellung eines verinice.veo Accounts notwendig, den wir Ihnen kostenfrei zur Verfügung stellen. Die Anwendung ist vollständig webbasiert.

 

Sirin Torun
(SerNet GmbH (verinice-TEAM))
9:00 - 17:00 Workshop

verinice.WORKSHOP 2: BSI IT-Grundschutz Projekte mit verinice

Sie planen die Einführung von verinice in Ihrer Organisation? In diesem Workshop vermitteln Ihnen unsere verince.EXPERTs alle wesentlichen Kenntnisse für die Planung einer erfolgreichen Einführung von verinice.

Zu den Inhalten des Workshops gehören die verschiedenen Perspektiven, Views und allgemeine Einstellungen. Vertieft wird das Arbeiten im View "modernisierter Grundschutz". Es wird ein Blick auf das Reporting, die Aktualisierung des Kompendiums, Import- und Exportmöglichkeiten und auf die Anpassung des verinice-Clients geworfen.

Zielgruppe sind IT-Sicherheitsbeauftragte, IT-Verantwortliche und ISMS-Projektleiter*innen.

Voraussetzungen:

Den Teilnehmer*innen sollte die grundsätzliche Vorgehensweise nach dem IT-Grundschutz (BSI) bekannt sein. Kenntnisse der Bedienung von verinice werden nicht vorausgesetzt.

Bitte beachten Sie, dass die Teilnahme über Ihr eigenes Endgerät erfolgt (Bring your own Device). Die aktuelle verinice-Einzelplatzversion stellen wir Ihnen für die Teilnahme am Workshop zum vorherigen Download bereit.

Sören Risse
(neam IT-Services GmbH) Yannick Kaddar
(neam IT-Services GmbH)
9:00 - 17:00 Workshop

verinice.WORKSHOP 3: B3S und eigene Standards - Wie können diese in verinice abgebildet werden?

Immer mehr Anforderungen werden an die Nachweisbarkeit eines ISMS auf dem aktuellen Stand der Technik gefordert, sei es durch behördliche branchenspezifische oder Konzernanforderungen. Wie kann ich diese mit meinem ISMS abbilden?

Voraussetzungen:

Die Teilnehmer*innen sollten Grundkenntnisse im Bereich des Informationssicherheitsmanagements haben.

Bitte beachten Sie, dass die Teilnahme über Ihr eigenes Endgerät erfolgt (Bring your own Device). Die aktuelle verinice-Einzelplatzversion stellen wir Ihnen für die Teilnahme am Workshop zum vorherigen Download bereit.

Dirk Brand
(sila consulting GmbH) Lukas Fischer
(sila consulting GmbH)
9:00 - 17:00 Workshop

verinice.WORKSHOP 4: Business Continuity Management - Aus Notfall wird Kontinuität

Viele Standards, Methoden und „Best practice“ Ansätze führen zu immer aufwändigeren Systemen, Vorgehensweisen und Analysen, durch welche das eigentliche Ziel des Business Continuity Managements immer weiter aus dem Fokus der eigentlichen Bemühungen tritt.

Welche grundlegende Idee wir mit den Bestandteilen eines Business Continuity Management Systems (BCMS) verfolgen, wird in diesem Workshop mittels Durchführung eines Planspiels zur Erstellung von Notfallplänen simuliert.

Grundlage für die Simulation stellen die einschlägigen Standards wie die ISO 22301, die BSI-Standards oder die Good Practice Guidelines des Business Continuity Institutes dar.

Ziel des Workshops ist es, für die Teilnehmer ein substanzielles Verständnis über die Bestandteile eines BCMS zu schaffen und mögliche Verwendungszwecke der Ergebnisse und deren notwendigen Voraussetzungen zu diskutieren. Mit den Ergebnissen des Workshops sind die Teilnehmer in der Lage, Lösungsansätze für die typischen Herausforderungen bei der Einführung und dem Betrieb eines BCMS zu erstellen und diese zu adressieren.

Voraussetzungen:

Die Teilnehmer*innen sollten Grundkenntnisse im Bereich BCM und ein gewisses Prozessverständnis haben. Kenntnisse der Bedienung von verinice werden nicht vorausgesetzt.

Bitte beachten Sie, dass die Teilnahme über Ihr eigenes Endgerät erfolgt (Bring your own Device). Die aktuelle verinice-Einzelplatzversion stellen wir Ihnen für die Teilnahme am Workshop zum vorherigen Download bereit.

Maximilian Stadler
(Cassini Consulting AG) Marc Drechsler
(Cassini Consulting AG)
9:00 - 10:00

Registrierung zur Konferenz

Registrierung im Hotel Freizeit In

10:00 – 10:15

Begrüßung

Michael Flürenbrock
(SerNet GmbH / verinice.TEAM) Dr. Johannes Loxen
(SerNet GmbH)
10:15 – 11:15

Keynote: Aktuelles zur IT-Sicherheitslage

Slides (PDF)

Recording

Isabel Münch
(BSI – Head of Branch IT Security Situational Awareness)
11:15 – 12:00

Wie erkläre ich das dem Chef? - Informationssicherheits-Risiken identifizieren und berichten

Die Grundschutz-Methodik erfordert viel Fleißarbeit: Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Grundschutz-Check.... bis zur Risikoanalyse haben es noch nicht viele geschafft. Doch ohne Kommunikation von Risiken kann das Management keine Entscheidungen zur Verbesserung der Sicherheit treffen.
Im Vortrag wird gezeigt, wie durch eine zweckmäßige Risikomatrix und Konzentration auf wesentliche Zielobjekte Risiken identifiziert und per Report-Abfrage zu für das Management verständlichen Excel-Diagrammen aufbereitet werden.

Slides (PDF)

Recording

Ulf Riechen
(Riechen Consulting GmbH)
12:00 – 13:30

Mittagspause

13:30 – 14:15

verinice DSMS

Sirin Torun stellt den verinice Datenschutzmanager auf der neuen Plattform verinice.veo vor.

Sirin Torun
(SerNet GmbH / verinice.TEAM)
14:15 – 15:00

Die neue ISO 27001 – Was kommt auf uns zu?

Im Oktober 2022 wurde eine Neufassung der ISO 27001 veröffentlicht. Anwendende stehen vor der Herausforderung ihr etabliertes ISMS auf die neue Norm hin anzupassen. In der Praxis erleben wir, dass die Neuerungen der Norm aktuell noch viele Fragen aufwerfen.
Im Vortrag sollen daher überblicksartig die Unterschiede zwischen der neuen und bisherigen ISO 27001 aufgezeigt werden. Darauf aufbauend werden Optionen aufgezeigt, wie Potentiale in der neuen Norm erkannt und erschlossen werden können. Insbesondere widmen wird uns den veränderten Controls (Referenzmaßnahmen) aus Anhang A. Es werden Möglichkeiten aufgezeigt, wie notwendige Änderungen zielgerichtet initiiert und angemessen umgesetzt werden können. Abschließend sollen in einem Fazit mögliche Vor- und Nachteile nochmal zusammengefasst werden.


Wesentliche Schwerpunkte des Vortrages sind:
- Veränderungen hinsichtlich des Managements
- Veränderungen hinsichtlich Anhang A
(Neue, veränderte und entfallene Controls)
(Attribute – Controls erhalten Eigenschaften)
- Umsetzungsaufwände und -fristen

Slides (PDF)

Recording

Ann-Kathrin Udvary
(secuvera GmbH) Björn Lemberg
(secuvera GmbH)
15:00 – 15:45

Kaffeepause

15:45 – 16:30

Von verinice nach Visio und zurück

Eine grafische Strukturanalyse ist nicht nur praktisch, sondern kann auch den im BSI IT-Grundschutz geforderten vereinfachten Netzplan sinnvoll ergänzen. Wie bekommt man die im verinice erfassten Daten in Visio zur Anzeige und ist es möglich gemachte Anpassungen wieder in verinice zu importieren?

Slides (PDF)

Recording

Thomas Lundström
(SoftEd Systems GmbH)
16:30 – 17:15

Kurzvorstellung: Vorfall-Experte BSI

Die Schulung BSI Vorfall-Experte ist der ideale Einstieg in das Thema Digitale Forensik und Incident Response (DFIR) für alle Verantwortlichen im IT-Sicherheitsbereich.

Slides (PDF)

Recording

David Oster
(neam IT Services GmbH)
18:30 – open end

Social Event

9:00 – 9:45

Integration der Informationssicherheit - Erfahrungen bei der Umsetzung der Anforderung ISMS.1.A9

Wie schafft es der Informationssicherheitsbeauftragte, dass sein Thema in alle Geschäftsprozesse und Fachaufgaben integriert wird? An welcher Stelle muss er sich in Projekte einbringen? Welche Prozesse sind zweckmäßig? Der Vortrag beantwortet diese Fragen mit mehr oder weniger guten Beispielen aus der Praxis.

Slides (PDF)

Recording

Ulf Riechen
(Riechen Consulting GmbH)
9:45 – 10:30

Jeder Standard ein Tool? Nicht zwingend!

Vielerlei Standards werden in der Zukunft auf Behörden und Unternehmen zukommen, je nach Branche oder gesetzlicher Änderung können diese sehr unterschiedlich sein. Pro Branche gibt es sogar mehrere Standards die nicht untereinander kompatibel sind. Wie kann man dies nun konform abbilden? Ein kurzer Praxisbericht und Lösungsvorschläge mit verinice.

Slides (PDF)

Recording

Dirk Brand
(sila consulting GmbH)
10:30 – 11:00

Kaffeepause

11:00 – 11:45

ISO27001:2022/ISO27005:2022: The next Generation of ISMS

Zur Erstellung einer tragfähigen Sicherheitsarchitektur war der ISO 27001 Standard stets eine verlässliche Vorlage, um den Rahmen von Richtlinien, Regeln, Prozesse,
Verfahren, Organisationsstrukturen sowie Software- und Hardwarefunktionen zu setzen. Der Standard beinhaltete schon immer Anforderung der ständigen Verbesserung, dem der ISO-Standard nun selbst folgt. Auf der bewährten Basis wurde nun eine neue Plattform für Risikokontrollmaßnahmen definiert, welche den aktuellen Anforderungen angepasst und von der Struktur effizienter und zielgerichteter wurde. Daran anknüpfend auch die ISO 27005 mit Ihrem Rahmen zur Risikobewertung und Kontrolle. Hier werfe ich mit Ihnen einen Blick auf die Umsetzung in verinice.

Slides (PDF)

Recording

Sven Perscheid
(Cassini Consulting AG)
11:45 – 12:30

Geheimschutz im BSI IT-Grundschutzkompendium: Was ändert sich mit dem neuen Baustein CON.11.1 Geheimschutz?

Der Geheimschutzbaustein CON.11.1 liegt mittlerweile als Final Draft vor und wird im Grundschutzkompendium 2023 enthalten sein. Was bedeutet das für Behörden, die Verschlusssachen mit dem Geheimhaltungsgrad VS – Nur für den Dienstgebrauch (VS – NfD) verarbeiten? Was ist bei der Konzeption und Freigabe von neuer IT zu beachten, die später VS-NfD verarbeiten soll?
Dieser Vortrag gibt Einblick welchen Einfluss der neue Baustein im Kompendium haben kann und welche Wechselwirkungen mit bereits im Kompendium enthaltenen anderen Prozess- und System-Bausteinen bestehen. Schließlich ist der Geheimschutz „nur“ eine Verschärfung des längst etablierten Schutzziels „Vertraulichkeit“. Zusätzlich wird auch kurz auf die Novellierung der Verschlusssachenanweisung Bund eingegangen.

Frederik von Zedlitz
(Cassini Consulting AG)
12:30 – 13:30

Mittagspause

13:30 – 14:15

Service für IT, Medizin- und Haustechnik im Gesundheitswesen – Praktischer Einsatz des Open Source ITSM-Systems KIX in Krankenhäusern

IT-Organisationen in Krankenhäusern kümmern sich um immer mehr technisches Equipment, denn in heutigen IT-Landschaften wachsen die klassische IT, die Gebäudeautomation und die Medizingerätetechnik immer stärker zusammen. Eine Plattform für alle Serviceteams zu schaffen, ist deshalb in den meisten IT-Abteilungen das Ziel der Einführung oder Optimierung von IT Service Management. Damit sollen alle Anwender des Krankenhauses (IT, Verwaltung, Stationen, Labore,...) ihre Aufträge für Haustechnik, Medizintechnik, Reinigung, IT usw. an einer zentralen Stelle aufgeben.

Die Serviceabläufe in Bereichen der Kritischen Infrastruktur ITIL-konform zu gestalten, ist ratsam, da ITIL international etabliert und entsprechend anerkannt ist. Ebenso sind damit auch Anforderungen aus den für Krankenhäuser wichtigen Sicherheitsanforderungen aus B3S oder ISO27001 abgedeckt. Um die eigene Entscheidungs- und Gestaltungsfreiheit, auch im Sinne der viel propagierten Digitalen Souveränität Öffentlicher Einrichtungen, zu behalten, gelangen Open Source-Softwarelösungen immer mehr ins Blickfeld. KIX ist eine solche Open Source-Software für ITSM und durch umfassende Workflow-Zertifizierung geeignet für die genannten Einsatzbereiche.

Anhand praktischer Beispiele aus drei Krankenhäusern unterschiedlicher Größe, erläutert der Vortrag das jeweilige Projektvorgehen. Er gibt Einblick, wie themenweise vorgegangen wurde und welche Serviceabläufe aufeinander aufbauend umgesetzt wurden. Dabei greift er auch auf, wie die Einbindung unterschiedlicher Akteure im Krankenhaus erfolgte, die nicht tagtäglich mit IT umgehen. Hierzu zählen bspw. die Haustechniker oder der Reinigungsservice. Aber auch medizinisches Personal, welches regelmäßig in technisches Equipment eingewiesen und darauf geschult werden muss. Neben der Ablaufsteuerung für Serviceaufträge, wird ebenso auf die Handhabung regelmäßig wiederkehrender Aufgaben und Wartungsaufträge anhand eines Wartungskalenders eingegangen. Die technische Integration von KIX in die umgebende IT-Landschaft, in Überwachungssysteme, Server- und Clientmanagement-Lösungen runden den Vortrag ab. Während des Vortrags werden den konkreten praktischen Umsetzungen folgend, wichtige Learnings und Handhabungshinweise gegeben.

Slides (PDF)

Recording

Rico Barth
(c.a.p.e. IT GmbH)
14:15 – 14:45

Ein Experiment mit Folgen: verinice.veo und ChatGPT

Künstliche Intelligenz hat im Jahr 2023 einen enormen Start hingelegt. Das Sprachmodell ChatGPT hat es geschafft, in nur zwei Monaten beeindruckende 100 Millionen Nutzer anzuziehen. Damit dürfte dieses Jahr das Jahr 0 für die Integration von AI in die tägliche Praxis von Wissensarbeitern werden.

Die Auswirkungen von KI auf das Informationssicherheitsmanagement sind weitreichend und werden in kürzester Zeit sichtbar werden. Die Art und Weise, wie wir Cybersicherheitsrisiken analysieren, Maßnahmen einführen und die Einhaltung von Compliance gewährleisten, wird sich dramatisch verändern.

Der Einsatz von KI-gestützten Tools im Informationssicherheitsmanagement hat das Potenzial, die Effizienz und Effektivität unserer Arbeit erheblich zu verbessern - und zwar soweit, dass bestimmte Tätigkeiten und Beratungsfunktionen nahezu vollständig ersetzt werden.

Vor diesem Hintergrund ist es von entscheidender Bedeutung, dass wir lernen, wie wir KI-Unterstützung effektiv in unsere Arbeitsabläufe integrieren können. Menschliche Erfahrung ist zwar nach wie vor unverzichtbar, aber mit Hilfe von KI-Technologie kann diese Erfahrung nun effizienter genutzt werden. Der Vortrag demonstriert dies am Beispiel einer Integration von ChatGPT in das neue verinice.veo.

Slides (PDF)

Recording

Alexander Koderman
(SerNet GmbH / verinice.TEAM)
15:00 – 16:00

Abschluss und Verabschiedung bei Kaffee und Kuchen

Programmkomitee

  • Michael Flürenbrock - SerNet
  • Volker Jacumeit - DIN
  • Boban Kršić - Fresenius
  • Isabel Münch - BSI
  • Jens Syckor - TU Dresden

Veranstaltungskoordination

Die veriniceXP ist eine Veranstaltung der SerNet GmbH.

Für Fragen zur verinice.XP steht Ihnen Frau Nadine Dreymann, SerNet GmbH gerne zur Verfügung.

Kontaktieren Sie bitte die Koordinationsstelle via kontakt@remove-this.verinicexp.org

Ort

Hotel FREIZEIT IN

Dransfelder Str. 3

37079 Göttingen

Telefon: +49 551 90010

 

Anfahrt

Impressum

Die verinice.XP wird organisiert von SerNet.

Verantwortlich für den Inhalt:

Gesellschaft: SerNet Service Network GmbH
Postadresse: Bahnhofsallee 1b, 37081 Göttingen
E-Mail:kontakt@remove-this.sernet.de

Handelsregister: HR B 2816, Amtsgericht Göttingen
USt.ID: DE186981087

Geschäftsleitung: Dr. Johannes Loxen, Reinhild Jung

Telefon: +49 551 370000-0

Datenschutzerklärung / data protection declaration

© SerNet GmbH, 2009-2023