Sponsoren

Ort

Digital via Zoom

Datum

23. - 25.02.2021

verinice.XP 2021 – Digital!

Die verinice.XP ist die Konferenz für AnwenderInnen des OpenSource ISMS-Werkzeugs verinice. Am 24. und 25. Februar 2021 fand diese erstmals aufgrund der aktuellen COVID-19 Lage in digitaler Form statt.

Trotz neuartigem Format standen wieder viele interessante Themen auf der Agenda. Auch wegweisende Neuerungen in verinice hatten ihren Platz im Online-Programm.

Die Referentinnen und Referenten haben Ihre Vorträge live via Zoom gehalten, so dass Interessierte die Konferenz flexibel von jedem beliebigen Standort aus über das Internet verfolgen konnten.

Auch die beliebten Workshops am Vortag der Konferenz wurden als remote-Session angeboten und erfreuten sich erneut großer Beliebtheit.

Die Aufzeichnungen der Vorträge werden, unter Voraussetzung der Zustimmung aller Referenten, allen angemeldeten Teilnehmerinnen und Teilnehmern zur Verfügung gestellt.

Vielen Dank an dieser Stelle an alle Referentinnen und Referenten sowie Teilnehmerinnen und Teilnehmer für drei Tage voller interessanter Vorträge und offener Gespräche.

Wir freuen uns schon jetzt auf die verinice.XP 2022 - Dann hoffentlich wieder gemeinsam mit Ihnen in Berlin.

Bleiben Sie gesund!

Programm 2021

PDF

9:00 - 17:00 Workshop

verinice.WORKSHOP 1: Umsetzung des modernisierten Grundschutzes in verinice

In diesem Workshop wird ein ISMS für eine einfache Institution mit verinice dokumentiert.

Zunächst werden nach der Vorgehensweise des BSI-Standards 200-2 die Struktur des Informationsverbundes in verinice erstellt, die Zielobjekte verknüpft und der Schutzbedarf dokumentiert. Nach der Modellierung der erforderlichen Prozess- und System-Bausteine erfolgt für ausgewählte Objekte ein Grundschutz-Check, der den Stand der Umsetzung der Grundschutz-Anforderungen in verinice dokumentieren soll.

Anschließend wird für ein Zielobjekt eine Risikoanalyse nach BSI-Standard 200-3 in verinice dokumentiert. Hierfür kommt auch ein benutzerdefinierter Baustein zum Einsatz. Abschließend können die für die Zertifizierung erforderlichen Referenzdokumente A1 bis A6 als Report erzeugt werden.

Voraussetzung: Die TeilnehmerInnen sollen Grundkenntnisse in Informationssicherheit mitbringen. Kenntnisse der Bedienung von verinice werden nicht vorausgesetzt.

Ulf Riechen
(Riechen Consulting)
9:00 - 17:00 Workshop

verinice.WORKSHOP 2: Modernisierter Grundschutz – Die ultimative Perspektive!

In diesem Workshop stellen wir die Möglichkeiten vor, die modernisierte Grundschutzperspektive für weitere anforderungsbasierte Vorgehensweisen zu nutzen. Im Workshop werden die ISO27001 und 27002 im modernisierten Grundschutz dargestellt.

Durch die TeilnehmerInnen können folgend Vorschläge für andere Vorgehensweisen gemacht werden, deren Umsetzung im Workshop dann besprochen und ggf. sogar in der praktischen Umsetzung gezeigt werden kann.

Dirk Brand
(Sila Consulting)
10:00 - 10:15

Begrüßung

Michael Flürenbrock
(SerNet)
10:15 - 11:00

Verinice beyond ISMS - Mit Verinice integrierte Management Systeme managen

Mit der offenen Struktur von verinice besteht die Möglichkeit zu einem
existierenden ISMS und DSMS weitere Managmentsysteme zu integrieren und verwalten.

Risikomanagement, Assetmanagement (gruppiert) und andere für alle Managementsysteme wichtigen Grundlagen können mit verinice dokumentiert und verwaltet werden.

Slides (PDF)

Dirk Brand
(SILA Consulting)
11:00 - 11:30

Pause

11:30 - 12:15

Neuerungen im BSI IT-Grundschutz Kompendium 2021

In diesem Vortrag erhalten Sie einen Überblick über die Neuerungen im BSI IT-Grundschutz Kompendium 2021.

Keywords: Bausteine, Vergleich, Änderungen, Neuerungen, Zusammenfassung

Slides (PDF)

Deniz Desti
(HiSolutions)
12:15 - 13:00

Unterstützung der ISO 27001-Zertifizierung durch den Einsatz des IT-Service Management Systems KIX - Ein Impulsbericht

Stadtwerke haben für ihre Fernwirkanlagen die gesetzliche Forderung einer Zertifizierung nach IT-Sicherheitskatalog zu erfüllen. Sie müssen ein Informationssicherheits-Managementsystem (ISMS) nach dem IT-Sicherheitskatalog unter Verwendung der DIN-ISO-Normen 27001 und 27019 einrichten und verwenden. Dienstleister dieser Stadtwerke haben ebenso eine Zertifizierung nach DIN-ISO 27001 nachzuweisen.

Der Vortrag gibt Impulse anhand praktischer Beispiele wie für die IT- und die Security-Organisation lückenlose Arbeitsabläufe zwischen Information Security Management und IT Service Management (ITSM) umsetzbar sind und damit die Anforderungen an die ISO 27001-Zertifizierung unterstützt.

Wie wird mit der ITSM-Software KIX der Aufbau eines ISMS unterstützt? Welche Forderungen aus den Normkapiteln und der Anwendbarkeitserklärung (SOA) werden durch KIX nach ITIL unterstützt. Welche Rollen spielen dabei die CMDB und der Wartungsplaner? Wie integriert sich das ISMS-Tool verinice als wichtige Komponente hierbei hinein?

Mit KIX und verinice schnell DIN-ISO 27001 konform – das ist erfolgreich, wenn IT- und Sicherheitsteams gemeinsam agieren.

Slides (PDF)

Rico Barth
(c.a.p.e. IT)
13:00 - 14:00

Mittagspause

14:00 - 14:45

Die häufigsten Fehler bei der Einführung eines ISMS mit einem Tool

Wir erleben im Rahmen von Kritis-Betreibern immer häufiger die Tendenz ein Tool für ein ISMS einzusetzen. Jedoch sind diese Entscheidungen nicht immer durchdacht.

Im Rahmen dieses Vortrags werden die häufigsten Fehler bei der Einführung eines ISMS mit einem Tool näher betrachet.

Florian Ferenczy
(AuraSec)
14:45 - 15:30

Microsoft 365 Sicherheitskonzept in verinice

In unserer Präsentation zur Tenant Security von Microsoft 365-Umgebungen erfahren Sie praktisch, wie Sie die für Ihre Organisation angemessen Sicherheitsanforderungen identifizieren und datenschutzkonform umsetzen. Nutzen Sie Anwendungen wie Teams, SharePoint, Planner und weitere Applikationen sicher.

Slides (PDF)

Kai Wittenburg
(neam IT-Services)
15:30 - 16:00

Pause

16:00 - 16:45

verinice.veo - Technische Umsetzung sowie technische & fachliche Vorteile

Unter dem Namen "verinice.veo" erstellt SerNet derzeit die nächste Generation von verinice. Vollständig web-basiert und mit modernen technischen Backends wird diese Version sowohl "on-premise" im eigenen Netz als auch in der Cloud nutzbar sein.

Michael Flürenbrock (product owner) und Daniel Murygin (Entwicklungsleiter) berichten über die verschiedenen Module in verinice, die bleibenden und neuen Eigenschaften und den Fahrplan für Veröffentlichung und Migration in 2021 und 2022.  

Slides (PDF)

Daniel Murygin
(SerNet) Michael Flürenbrock
(SerNet)
16:45 - 17:00

Review Konferenztag 1 und Ausblick auf Tag 2

Michael Flürenbrock
(SerNet)
ab 18:00

Social Event - Digital!

Wir freuen uns auf ein getrennt-gemeinsames digitales Social Event mit allen TeilnehmerInnen der Konferenz.

Bleiben Sie für die Teilnahme einfach direkt im Zoom-Meeting der Konferenz.

10:00 - 10:15

Begrüßung Konferenztag 2

Michael Flürenbrock
(SerNet)
10:15 - 11:00

IT-Sicherheitsgetz 2.0 - quo vadis?

Boban Kršić ist CISO bei der DENIC eG in Frankfurt und unter anderem Leiter des "Branchenarbeitskreises Internetinfrastruktur" im "UP-KRITIS". In diesem Vortrag berichtet er über das IT-Sicherheitsgesetz 2.0 und dessen Auswirkungen auf die technische und fachliche Entwicklung von IT-Sicherheit und -Compliance in Deutschland.

Slides (PDF)

Boban Kršić
(DENIC)
11:00 - 11:30

Pause

11:30 - 12:15

Was kosten Databreaches? Finanzielle Argumente für die Erbsenzähler

Data Breaches erscheinen täglich in den Medien. Trotzdem kümmert sich nur ein kleiner Teil der Unternehmen strukturiert und geplant um eine angemessene Informationssicherheit mit Werkzeugen wie Verinice. Viele Verantwortliche vermeiden dieses Thema trotz der substanziellen finanziellen Risiken.

Wiederholt wurden die potentiellen Risiken in einer Studie untersucht. In diesem Vortrag wird ein Überblick über eine IBM Studie gegeben, bei der in 17 Ländern über 500 Organisationen untersucht worden sind, welche Opfer eines Data Breaches geworden sind.

Ziel ist es, Ihnen finanzielle Argumente für die notwendigen Untersuchungen bei einem finanziell orientierten Management an die Hand zu geben, um deren Zustimmung zu Arbeiten an der Informationssicherheit zu erreichen.  

Slides (PDF)

Hagen Bauer
(rusticus consulting)
12:15 - 13:00

Aus verinice das Management begeistern

Out of the box generiert verinice die wichtigsten Berichte für Auditor und ISB. Für die Kommunikation mit dem Management bedarf es aber vereinfachter Darstellung, die dringende Fragestellungen grafisch plausibel macht. In diesem Vortrag wird präsentiert, wie mit dem Report Generator die wichtigsten Infos ausgewählt sowie in Excel aufbereitet werden.
Eine Darstellung der Abhängigkeiten von Prozess zu Anwendung etc. braucht das Management nicht als Fließtext. In diesem Vortrag lernen Sie, wie mit möglichst wenig Aufwand die benötigten Informationen aus verinice exportiert und mit einen Graphen Tool gezeichnet werden können.

Slides (PDF)

Thomas Lundström
(SoftEd Systems)
13:00 - 14:00

Mittagspause

14:00 - 14:45

Wenn es wirklich zählt - Besseres Schwachstellen-Management in fünf Minuten

Conficker, Citrix-Lücke, Pegasus: spätestens wenn sogar die Tagesschau über Schwachstellen berichtet, denken die meisten IT-Verantwortlichen über möglichen Handlungsbedarf im eigenen Netzwerk nach. Die meisten Unternehmen etablieren inzwischen eine gute Update-Policy zur Reduktion von Software-Schwachstellen. Ab und an gibt es allerdings Schwachstellen, die so kritisch sind, dass sie außerhalb des regulären Patch-Zyklus behandelt werden müssen. Wie entdeckt man solche Schwachstellen und wann reagiert man darauf? Man kann tagtäglich die Nachrichten und soziale Medien durchforsten, um rechtzeitig gewarnt zu sein. Es gibt allerdings noch eine andere Möglichkeit.

Slides (PDF)

Alexander Koderman
(SerNet)
14:45 - 15:30

verinice Roadmap

"Content is King" - unter diesem Motto wird verinice im Jahr 2021 weiter entwickelt. Während die technische Entwicklung stark auf die neue rein web-basierte Version "verinice.veo" fokussiert, arbeitet das Fachteam unter Leitung von Michael Flürenbrock daran, weitere Inhalte in neuen Modulen für verinice bereit zu stellen. Siehe dazu auch den stark ausgebauten Bereich "Content" im verinice.SHOP.

Die für 2021 geplanten Versionen 1.22 (Frühjahr) und 1.23 (Herbst) werden im Vortrag inhaltlich und technisch vorgestellt.

Michael Flürenbrock
(SerNet)
15:30 - 15:45

Schlusswort

Michael Flürenbrock
(SerNet)

Programmkomitee

  • Michael Flürenbrock - SerNet
  • Volker Jacumeit - DIN
  • Boban Kršić - DENIC
  • Isabel Münch - BSI
  • Jens Syckor - TU Dresden

Veranstaltungskoordination

Die veriniceXP ist eine Veranstaltung der SerNet GmbH.

Für Fragen zur verinice.XP steht Ihnen Frau Nadine Dreymann, SerNet GmbH gerne zur Verfügung.

Kontaktieren Sie bitte die Koordinationsstelle via kontakt@remove-this.verinicexp.org

Impressum

Die verinice.XP wird organisiert von SerNet.

Verantwortlich für den Inhalt:

Gesellschaft: SerNet Service Network GmbH
Postadresse: Bahnhofsallee 1b, 37081 Göttingen
E-Mail:kontakt@remove-this.sernet.de

Handelsregister: HR B 2816, Amtsgericht Göttingen
USt.ID: DE186981087

Geschäftsleitung: Dr. Johannes Loxen, Reinhild Jung

Telefon: +49 551 370000-0
Fax: +49 551 370000-9

Datenschutzerklärung / data protection declaration

© SerNet GmbH, 2009-2021