verinice.XP Archiv
In unserem Archiv stellen wir Ihnen u.a. die Vortragsfolien der vergangenen Veranstaltungen zur Verfügung.
Programmrückschau 2025
Keynote Fortentwicklung des IT-Grundschutzes zu IT-Grundschutz++
Praxisnah und flexibel. Schon 1994 war dies der Grundgedanke für die IT-Sicherheitsempfehlungen, als die erste Ausgabe des IT-Grundschutzhandbuches herauskam. Drei Jahrzehnte später hat sich nicht nur die Welt um den IT-Grundschutz geändert, sondern auch der IT-Grundschutz selbst. Er wurde mehrfach vollständig überarbeitet, so dass er jederzeit als Werkzeug genutzt werden kann, um Informationssicherheit in Institutionen zu schaffen und aufrechtzuhalten.
Auch zum derzeitigen Zeitpunkt wird der IT-Grundschutz agil unter dem Stichwort "IT-Grundschutz++" mit den Zielen weiterentwickelt, den Umfang und die bei der Umsetzung entstehenden Dokumentationsaufwände auf das notwendige Mindestmaß zu reduzieren, eine Priorisierung der Anforderungen vorzunehmen, Leistungskennzahlen aus den erfüllten Anforderungen zu errechnen sowie die Anwendung von Automatisierungstools weitestgehend zu ermöglichen.
Die Keynote wird die Vision von IT-Grundschutz++ zeigen sowie über den aktuellen Stand der agilen Weiterentwicklung informieren und einen Ausblick geben, was den zukünftigen IT-Grundschutz auszeichnen wird.
Prototyp IT-Grundschutz++ in verinice.veo
Maschinenlesbar, automatisierbar und agil soll der neue IT-Grundschutz++ werden. Das verinice.Team stellt einen ersten Prototypen in der neuen Produktgeneration verinice.veo vor und erläutert die grundlegenden Konzepte der Neuerungen.
Pause
Richtlinien sind gefüllte Lückentexte
Wie sich die Erstellung von Richtlinien (teil-) automatisieren lässt.
Für unsere Organisationen brauchen wir Bündel von Richtlinien. Allein für die ISO 27001 ca. 30 und für den aktuellen Grundschutz über 50. Dazu kommen dann noch Arbeitsschutz, Qualitätsmanagement und eine Vielzahl von Compliance-Themen. Die Erstellung und Pflege dieser Vorgaben binden mehr Ressourcen als eigentlich für die Aufgabe verfügbar.
Wie kann aus zentralen Vorgaben, in verinice.veo bereits erfassten Daten und einer Prise KI dieser Prozess beschleunigt und automatisiert werden?
Vorteile einer offenen API: Workflow Anbindung für verinice.veo
Ein entscheidender Vorteil von verinice.veo liegt in der offenen API, die eine nahtlose Integration mit verschiedenen Third-Party-Tools und Plattformen ermöglicht. Dieser Vortrag demonstriert die Integration mit der leistungsstarken Open Source Workflow-Engine "Windmill" und hebt deren Mehrwert für Informationssicherheitsbeauftragte und Datenschützer hervor.
Wir demonstrieren, wie Workflows gezielt eingesetzt werden, um zentrale Aufgaben zu automatisieren, wie etwa die Umsetzung und Prüfung von Controls, das Erfassen und Verwalten von Assets sowie die effiziente Bearbeitung von Sicherheitsvorfällen. Die Teilnehmer erhalten praxisnahe Einblicke wie wiederkehrende Tätigkeiten durch Automatisierung optimiert werden können, um die Effektivität und Effizienz ihres ISMS/DSMS zu steigern.
Pause
Umsetzung des B3S Krankenhaus im Sächsischen Krankenhaus Rodewisch - Ein Projekterfahrungsbericht
Krankenhäuser sind nach SGB V § 391 verpflichtet, nach dem Stand der Technik angemessene Vorsorge zu treffen, um Ausfälle oder eine Beeinträchtigung des Krankenhausbetriebs zu vermeiden. Diese Verpflichtung kann durch Anwendung des Branchenspezifischen Sicherheitsstandards (B3S) erfüllt werden. Außerdem verpflichtet das Sächsische Informationssicherheitsgesetz das Sächsische Krankenhaus Rodewisch als staatliche Einrichtung zur Anwendung des BSI Grundschutzes.
Unter diesen Gesichtspunkten wurde im Rahmen des Krankenhauszukunftsgesetzes (KHZG) ein Projekt gestartet, um ein B3S- und BSI-Grundschutz konformes ISMS aufzubauen und zu etablieren. Dabei konnte auf die seit Jahren im Einsatz befindliche Open-Source-Lösung KIX als CMDB aufgesetzt werden. Für die ISMS-Dokumentation sollte mit verinice ebenfalls eine Open-Source-Lösung zum Einsatz kommen. Durch die Kopplung von CMDB und ISMS über eine Schnittstelle werden Synergien genutzt.
Der Vortrag behandelt die Herangehensweise, die Projektumsetzung und die Gestaltung der Schnittstelle zwischen ISMS und CMDB. Dabei werden insbesondere die Zuordnung von Grundschutz-Zielobjekten in verinice zu Configuration Items in der KIX-CMDB, die Einbindung von Medizin- und Versorgungstechnik sowie die Workflows zur Bearbeitung von Grundschutz-Anforderungen als Ticket und die Einbindung des externen ISB vorgestellt.
Mapping von IT-Grundschutz und NIS2 in verinice für die öffentliche Verwaltung
Die Informationssicherheit steht durch die Anforderungen der NIS2-Richtlinie vor Herausforderungen. Eine Betroffenheit der öffentlichen Verwaltung wird zunehmend diskutiert. Bei einem vorhandenen Informationssicherheitskonzept nach IT-Grundschutz lassen sich die Anforderungen der NIS2-Richtlinie mit überschaubarem Aufwand umsetzen. Wir geben Ihnen in unserem Vortrag einen Ausblick zur praktischen Umsetzung in verinice.
Social Event
NIS2: Von der gesetzlichen Anforderung in die praktische Umsetzung
Die NIS-2-Richtline soll in Deutschland durch das NIS2UmsuCG umgesetzt werden. Dieses neue Gesetz stellt mannigfaltige Anforderungen an die Unternehmen, die davon betroffen sind. Welche Anforderungen dies konkret sind und wie diese in der Praxis mit Hilfe von verinice im Unternehmen umzusetzen können, soll der Vortrag veranschaulichen.
Einführung von verinice in eine große Organisation - ein Projekterfahrungsbericht
Die Einführung eines neuen ISMS-Tools ist eine anspruchsvolle Aufgabe, die viele Herausforderungen mit sich bringt. In diesem Vortrag teilen wir unsere Erfahrungen aus einem umfangreichen Projekt, bei dem eine große Organisation diesen Schritt gewagt hat. Wir berichten über die Hürden, die wir überwinden mussten, und die Erkenntnisse, die wir dabei gewonnen haben. Ziel des Vortrags ist es, einen realistischen Einblick in einen Wechsel des ISMS-Tools zu geben und andere Organisationen von unseren Erfahrungen profitieren zu lassen.
Pause
ISO 27032 - Noch ein Managementsystem. Einordnung & Relevanz
ISO 27032 ist eine vergleichsweise neue Norm, die speziell auf die Herausforderungen der Cybersicherheit abzielt und sich durch einen praxisorientierten Ansatz auszeichnet. Der Standard versteht sich als Ergänzung zu bestehenden Frameworks wie der ISO 27001 und adressiert insbesondere die Zusammenarbeit zwischen verschiedenen Stakeholdern, um Bedrohungen effektiv zu begegnen. Dieser Vortrag ordnet die ISO 27032 im Kontext bestehender Sicherheitsstandards ein, beleuchtet die zentralen Inhalte der Norm und zeigt deren Potenzial zur Verbesserung der Cybersicherheitslandschaft auf.
Gleichzeitig wird kritisch hinterfragt, ob die ISO 27032 tatsächlich einen notwendigen Mehrwert bietet oder lediglich ein weiteres Element in der ohnehin komplexen Landschaft der Managementsysteme und Standards darstellt. Anhand praxisnaher Beispiele werden mögliche Redundanzen mit anderen Standards analysiert und die sinnvolle Integration in Unternehmen zur Optimierung der Sicherheitsstrategien entworfen.
Grafischer Netzstrukturplan aus der verinice-Strukturanalyse
Der BSI-Standard 200-2 geht bei der Strukturanalyse von einem "bereinigten Netzplan" aus. Auch KRITIS-Betreiber müssen nach GAIN einen Netzstrukturplan vorlegen, der die “Anlage” passend abstrahiert und verständlich beschreibt. Ein solcher Netzplan ist aber schwer zu bekommen. Die Netzwerker haben nur eine "Tapete" mit allen Switches – Server- und Client-Admins schicken einen wieder zu den Netzwerkern. Also ist selbst zeichnen angesagt… oder? Die im Netzplan darzustellenden Assets/Zielobjekte sind eigentlich schon verinice erfasst. Wenn die Verknüpfungen zweckmäßig angelegt sind, kann durch deren Export ein Graph automatisiert erstellt werden – und man spart sich das Zeichnen.
Pause
Visualisierung von Verknüpfungen in verinice.veo
Die offene API von verinice.veo ermöglicht eine umfassende grafische Visualisierung aller Verknüpfungen in Ihrem Informationssicherheitsmanagement. Risiken können beispielsweise mit Szenarien, Assets, Prozessen oder Informationsverbünden verknüpft und dargestellt werden. Ebenso lassen sich ein- und ausgehende Links zwischen Informationsverbünden übersichtlich abbilden. Der Vortrag behandelt diese flexible Visualisierung, die für alle Arten von Verknüpfungen gelten und einen klaren Überblick über Zusammenhänge und Abhängigkeiten bieten – eine wertvolle Unterstützung für effektives Risikomanagement und Entscheidungsprozesse.
verinice Roadmap
verinice.WORKSHOP 1: Datenschutz mit dem OpenSource-Tool verinice DSMS
Mit der EU-DSGVO sind zahlreiche Anforderungen an die Verarbeitung personenbezogener Daten definiert worden. Eine der wichtigsten Neuregelung ist hierbei die sog. Rechenschaftspflicht, normiert in Art 5. Abs.2 DS-GVO. Hiernach müssen Unternehmen gegenüber der zuständigen Aufsichtsbehörde nachweisen, dass die Anforderungen aus der EU-DSGVO eingehalten wurden. Bei Verstößen drohen empfindliche Geldbußen.
Das "verinice DSMS" wurde vom verinice-Team der SerNet GmbH auf der neuen Web-Plattform "verinice.veo" geschaffen, die vollständig browserbasiert eine einfache und intuitive Umsetzung der datenschutzrechtlichen Anforderungen ermöglicht. Im Rahmen des Workshops lernen die Teilnehmenden, wie sie ihren Dokumentations- und Rechenschaftspflichten nachkommen können. Hierbei werden die wesentlichen Datenschutzprozesse anhand von Praxisbeispielen Schritt für Schritt erörtert und direkt im Tool modelliert. Themen sind u. a. das Verzeichnis der Verarbeitungstätigkeiten, die Abbildung der Auftragsverarbeitung und Betroffenenanfragen, Datenschutzrisikoanalyse und Durchführung der Datenschutz-Folgenabschätzung mit Risiken aus dem DSGVO-Katalog sowie die Behandlung und Dokumentation von Datenschutzvorfällen.
Zielgruppe: Datenschutzbeauftragte
Voraussetzungen: Die Teilnehmenden sollten Grundkenntnisse in der DSGVO mitbringen. Kenntnisse in der Bedienung von verinice werden nicht vorausgesetzt.
Für die Teilnahme am Workshop ist die Erstellung eines verinice.veo Accounts notwendig, den wir Ihnen kostenfrei zur Verfügung stellen. Die Anwendung ist vollständig webbasiert.
verinice.WORKSHOP 2: Sicherheitskonzeption nach den BSI-Standards 200-2 und 200-3 mit dem OpenSource-Tool verinice ISMS
In diesem Workshop wird die Sicherheitskonzeption nach den BSI-Standards 200-2 und 200-3 am Beispiel einer einfachen Institution mithilfe des webbasierten Open-Source-Tools „verinice ISMS“ erstellt. Das "verinice ISMS" wurde vom verinice-Team der SerNet GmbH auf der neuen Web-Plattform "verinice.veo" geschaffen, die vollständig browserbasiert eine einfache und intuitive Umsetzung der Anforderungen der Informationssicherheit ermöglicht.
Für den betrachteten Geltungsbereich wird die Strukturanalyse für den Informationsverbund durchgeführt, Zielobjekte erfasst und Abhängigkeiten dargestellt. Ausgehend von den Geschäftsprozessen wird der Schutzbedarf dokumentiert und vererbt. Für die im Rahmen der Bausteinmodellierung ausgewählten Sicherheitsanforderungen wird beim anschließenden IT-Grundschutz-Check der Stand der Umsetzung dokumentiert. Für ausgewählte Zielobjekte wird eine Risikoanalyse durchgeführt und dokumentiert. Die Erstellung des Sicherheitskonzepts schließt mit Erstellung der Referenzdokumente A.1 bis A.6 ab.
Zielgruppe: Informationssicherheitsbeauftragte, Management, Anwendende der IT-Grundschutz-Methodik
Voraussetzungen: Die Teilnehmenden sollten Grundkenntnisse in Informationssicherheit mitbringen. Kenntnisse der Bedienung von verinice werden nicht vorausgesetzt.
Für die Teilnahme am Workshop ist die Erstellung eines verinice.veo Accounts notwendig, den wir Ihnen kostenfrei zur Verfügung stellen. Die Anwendung ist vollständig webbasiert.
verinice.WORKSHOP 3: BSI IT-Grundschutz Projekte mit dem OpenSource-Tool verinice
Sie planen die Umsetzung des BSI IT-Grundschutz in Ihrer Organisation? In diesem Workshop vermitteln wir Ihnen alle wesentlichen Kenntnisse für die Planung und erfolgreiche Umsetzung mit verinice.
Im Workshop werden die verschiedenen Perspektiven, Views und allgemeine Einstellungen in verinice beleuchtet, die für eine erfolgreiche Umsetzung relevant sind. Vertieft wird das Arbeiten im View "modernisierter Grundschutz". Es wird ein Blick auf Report-Optionen, die inhaltliche Aktualisierung des Grundschutz-Kompendiums, Import- und Exportmöglichkeiten sowie Anpassungsmöglichkeiten des verinice-Clients geworfen.
Zielgruppe: IT-Sicherheitsbeauftragte, IT-Verantwortliche und ISMS-Projektleitende
Voraussetzungen: Den Teilnehmenden sollte die grundsätzliche Vorgehensweise nach dem IT-Grundschutz (BSI) bekannt sein. Kenntnisse in der Bedienung von verinice werden nicht vorausgesetzt.
Die aktuelle verinice.Subskription (Einzelplatzversion) stellen wir Ihnen für die Teilnahme am Workshop zum vorherigen Download bereit. Diese bedarf einer lokalen Installation auf Ihrem Client.
verinice.WORKSHOP 4: ISMS nach B3S Krankenhaus mit dem OpenSource-Tool verinice
Nach § 75c SGB V sind Krankenhäuser verpflichtet, Sicherheitsmaßnahmen entsprechend dem Stand der Technik umzusetzen. Sie können diese Verpflichtung durch Anwendung des branchenspezifischen Sicherheitsstandards B3S erfüllen.
Im Workshop wird gezeigt, wie mit verinice in der Grundschutz-Perspektive ein Informationssicherheitsmanagement-system nach B3S realisiert werden kann. Dabei werden die Anforderungen des B3S zum Risikomanagement und zur Härtung von Systemen unter Zuhilfenahme der IT-Grundschutz-Bausteine erfüllt. Es werden sowohl einfache Vorgehensweisen für kleinere Einrichtungen vorgestellt als auch Hinweise für große KRITIS-Einrichtungen gegeben. Neben der Bedienung von verinice nach der Grundschutz-Methodik liegt der Schwerpunkt auf den Besonderheiten einer Krankenhaus-IT.
Zielgruppe: Informationssicherheitsbeauftragte und IT-Leitende
von Krankenhäusern.
Voraussetzungen: Kenntnisse in der Bedienung von verinice werden nicht vorausgesetzt.
Die aktuelle verinice.Subskription (Einzelplatzversion) stellen wir Ihnen für die Teilnahme am Workshop zum vorherigen Download bereit. Diese bedarf einer lokalen Installation auf Ihrem Client.
Konferenzprogramm 2024
Begrüßung
Keynote: NIS2 und KRITIS-Dachgesetz – was kommt auf Unternehmen und Behörden zu?
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz wird die Regulierung Kritischer Infrastrukturen in Deutschland umfassend erweitert. Ab 2024 fallen neben KRITIS-Betreibern viele Unternehmen, Betriebe und auch Behörden unter neue Cybersecurity-Regulierung. Die mannigfaltigen Anforderungen für IT-Sicherheit und Resilienz fordern von betroffenen Organisationen ein robustes Management, nachhaltige Strukturen und Prozesse im ISMS und BCMS. Wir zeigen die wichtigsten Neuerungen und Anforderungen an Unternehmen und Behörden aus der NIS2-Umsetzung und KRITIS-Dachgesetz.
Pause
Das Standard-Datenschutzmodell 3.0 und verinice
Mit dem Standard-Datenschutzmodell (SDM) wird ein Werkzeug bereitgestellt, mit dem die Auswahl und die kontinuierliche Evaluation technischer und organisatorischer Maßnahmen unterstützt wird, die sicherstellen und den Nachweis dafür erbringen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DS-GVO erfolgt. Die Abbildung des SDM in verinice ermöglicht die praktische Anwendung des SDM.
Kritis Abwasser: Umsetzung mit verinice
In diesem Vortrag wird ein Einblick in ein verinice ISMS-Projekt mit dem Fokus des B3S Abwasser gegeben.
Inhaltlich werden die konkreten Anforderungen an das ISMS beleuchtet und ebenso ein Einblick in die erfolgte Umsetzung mit verinice gegeben, wie z.B die erfolgte Aufteilung der IT-Verbünde und die Implementation der Anforderungen des B3S.
Mittagspause
WiBA – Ihr toolbasierter Weg in die Basis-Absicherung
Das BSI hat das Konzept "Weg in die Basis-Absicherung" (WiBA) entwickelt, um Kommunen systematisch bei der Implementierung von Informationssicherheitsmaßnahmen zu unterstützen und die Risiken von Cybervorfällen zu minimieren.
In diesem Vortrag wird das WiBA-Konzept vorgestellt und mithilfe von verinice umgesetzt.
Sehr hübsch 2.0 – Erwartungen an verinice.veo
Die DEVK setzt seit einigen Jahren auf verinice.PRO als Tool für das Informationssicherheitsmanagement. Neben einer kurzen eigenen Vorstellung, wird im Rahmen dieses Anwendervortrags das aktuelle Setup beleuchtet und daraus ableitend die Erwartungen an das "verinice der zweiten Generation" auf Basis der neuen Technologieplattform verinice.veo formuliert.
Pause
Der IT-Grundschutz im neuen "verinice ISMS"
Das verinice-Team stellt den aktuellen Entwicklungsstand des IT-Grundschutz in der neuen webbasierten verinice-Generation vor. Neben grundsätzlichen Funktionalitäten werden insbesondere auch Neuerungen und Verbesserungen gegenüber dem bisherigen verinice dargestellt.
Mit Open Source und offener API – ein Dashboard für verinice.veo
verinice.veo ist ein Open-Source-Tool mit einer offenen API, das seinerseits auf Open-Source-Technologien wie PostgreSQL, Spring-Boot und VUE aufsetzt. Diese Architektur unterstützt eine nahtlose Integration mit einer breiten Palette von Open-Source-Software.
Dieser Vortrag demonstriert die Einbindung des AGPL-Projekts Metabase für die Erstellung interaktiver Dashboards unter Verwendung von veo-Daten. Durch eine Live-Demonstration werden die Teilnehmer die Vorteile und Möglichkeiten der Integration von verinice.veo mit 3rd-Party-Tools über die offene API nachvollziehen können.
Roadmap verinice
Konferenzprogramm 2023
verinice.WORKSHOP 1: Datenschutz mit dem neuen verinice DSMS - The Next Generation
Mit der EU-DSGVO sind zahlreiche Anforderungen an die Verarbeitung personenbezogener Daten definiert worden. Eine der wichtigsten Neuregelung ist hierbei die sog. Rechenschaftspflicht, normiert in Art 5. Abs.2 DS-GVO. Hiernach müssen Unternehmen gegenüber der zuständigen Aufsichtsbehörde nachweisen, dass die Anforderungen aus der EU-DSGVO eingehalten wurden. Bei Verstößen drohen empfindliche Geldbußen.
Das "verinice DSMS" wurde vom verinice-Team auf der neuen Web-Plattform "verinice.veo" geschaffen, die vollständig browserbasiert eine einfache und intuitive Umsetzung der datenschutzrechtlichen Anforderungen ermöglicht. Im Rahmen des Workshops lernen die Teilnehmer*innen, wie sie ihren Dokumentations- und Rechenschaftspflichten nachkommen können. Hierbei werden die wesentlichen Datenschutzprozesse anhand von Praxisbeispielen Schritt für Schritt erörtert und direkt im Tool modelliert. Themen sind u.a. das Verzeichnis der Verarbeitungstätigkeiten, die Abbildung der Auftragsverarbeitung, Datenschutzrisikoanalyse und Durchführung der Datenschutz-Folgenabschätzung mit Risiken aus dem DSGVO-Katalog sowie die Behandlung und Dokumentation von Datenschutzvorfällen.
Voraussetzungen:
Die Teilnehmer*innen sollten Grundkenntnisse in der DSGVO mitbringen. Kenntnisse der Bedienung von verinice/verinice.veo werden nicht vorausgesetzt.
Bitte beachten Sie, dass die Teilnahme über Ihr eigenes Endgerät erfolgt (Bring your own Device). Für die Teilnahme am Workshop ist die Erstellung eines verinice.veo Accounts notwendig, den wir Ihnen kostenfrei zur Verfügung stellen. Die Anwendung ist vollständig webbasiert.
verinice.WORKSHOP 2: BSI IT-Grundschutz Projekte mit verinice
Sie planen die Einführung von verinice in Ihrer Organisation? In diesem Workshop vermitteln Ihnen unsere verince.EXPERTs alle wesentlichen Kenntnisse für die Planung einer erfolgreichen Einführung von verinice.
Zu den Inhalten des Workshops gehören die verschiedenen Perspektiven, Views und allgemeine Einstellungen. Vertieft wird das Arbeiten im View "modernisierter Grundschutz". Es wird ein Blick auf das Reporting, die Aktualisierung des Kompendiums, Import- und Exportmöglichkeiten und auf die Anpassung des verinice-Clients geworfen.
Zielgruppe sind IT-Sicherheitsbeauftragte, IT-Verantwortliche und ISMS-Projektleiter*innen.
Voraussetzungen:
Den Teilnehmer*innen sollte die grundsätzliche Vorgehensweise nach dem IT-Grundschutz (BSI) bekannt sein. Kenntnisse der Bedienung von verinice werden nicht vorausgesetzt.
Bitte beachten Sie, dass die Teilnahme über Ihr eigenes Endgerät erfolgt (Bring your own Device). Die aktuelle verinice-Einzelplatzversion stellen wir Ihnen für die Teilnahme am Workshop zum vorherigen Download bereit.
verinice.WORKSHOP 3: B3S und eigene Standards - Wie können diese in verinice abgebildet werden?
Immer mehr Anforderungen werden an die Nachweisbarkeit eines ISMS auf dem aktuellen Stand der Technik gefordert, sei es durch behördliche branchenspezifische oder Konzernanforderungen. Wie kann ich diese mit meinem ISMS abbilden?
Voraussetzungen:
Die Teilnehmer*innen sollten Grundkenntnisse im Bereich des Informationssicherheitsmanagements haben.
Bitte beachten Sie, dass die Teilnahme über Ihr eigenes Endgerät erfolgt (Bring your own Device). Die aktuelle verinice-Einzelplatzversion stellen wir Ihnen für die Teilnahme am Workshop zum vorherigen Download bereit.
verinice.WORKSHOP 4: Business Continuity Management - Aus Notfall wird Kontinuität
Viele Standards, Methoden und „Best practice“ Ansätze führen zu immer aufwändigeren Systemen, Vorgehensweisen und Analysen, durch welche das eigentliche Ziel des Business Continuity Managements immer weiter aus dem Fokus der eigentlichen Bemühungen tritt.
Welche grundlegende Idee wir mit den Bestandteilen eines Business Continuity Management Systems (BCMS) verfolgen, wird in diesem Workshop mittels Durchführung eines Planspiels zur Erstellung von Notfallplänen simuliert.
Grundlage für die Simulation stellen die einschlägigen Standards wie die ISO 22301, die BSI-Standards oder die Good Practice Guidelines des Business Continuity Institutes dar.
Ziel des Workshops ist es, für die Teilnehmer ein substanzielles Verständnis über die Bestandteile eines BCMS zu schaffen und mögliche Verwendungszwecke der Ergebnisse und deren notwendigen Voraussetzungen zu diskutieren. Mit den Ergebnissen des Workshops sind die Teilnehmer in der Lage, Lösungsansätze für die typischen Herausforderungen bei der Einführung und dem Betrieb eines BCMS zu erstellen und diese zu adressieren.
Voraussetzungen:
Die Teilnehmer*innen sollten Grundkenntnisse im Bereich BCM und ein gewisses Prozessverständnis haben. Kenntnisse der Bedienung von verinice werden nicht vorausgesetzt.
Bitte beachten Sie, dass die Teilnahme über Ihr eigenes Endgerät erfolgt (Bring your own Device). Die aktuelle verinice-Einzelplatzversion stellen wir Ihnen für die Teilnahme am Workshop zum vorherigen Download bereit.
Registrierung zur Konferenz
Registrierung im Hotel Freizeit In
Begrüßung
Keynote: Aktuelles zur IT-Sicherheitslage
Wie erkläre ich das dem Chef? - Informationssicherheits-Risiken identifizieren und berichten
Die Grundschutz-Methodik erfordert viel Fleißarbeit: Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Grundschutz-Check.... bis zur Risikoanalyse haben es noch nicht viele geschafft. Doch ohne Kommunikation von Risiken kann das Management keine Entscheidungen zur Verbesserung der Sicherheit treffen.
Im Vortrag wird gezeigt, wie durch eine zweckmäßige Risikomatrix und Konzentration auf wesentliche Zielobjekte Risiken identifiziert und per Report-Abfrage zu für das Management verständlichen Excel-Diagrammen aufbereitet werden.
Mittagspause
verinice DSMS
Sirin Torun stellt den verinice Datenschutzmanager auf der neuen Plattform verinice.veo vor.
Die neue ISO 27001 – Was kommt auf uns zu?
Im Oktober 2022 wurde eine Neufassung der ISO 27001 veröffentlicht. Anwendende stehen vor der Herausforderung ihr etabliertes ISMS auf die neue Norm hin anzupassen. In der Praxis erleben wir, dass die Neuerungen der Norm aktuell noch viele Fragen aufwerfen.
Im Vortrag sollen daher überblicksartig die Unterschiede zwischen der neuen und bisherigen ISO 27001 aufgezeigt werden. Darauf aufbauend werden Optionen aufgezeigt, wie Potentiale in der neuen Norm erkannt und erschlossen werden können. Insbesondere widmen wird uns den veränderten Controls (Referenzmaßnahmen) aus Anhang A. Es werden Möglichkeiten aufgezeigt, wie notwendige Änderungen zielgerichtet initiiert und angemessen umgesetzt werden können. Abschließend sollen in einem Fazit mögliche Vor- und Nachteile nochmal zusammengefasst werden.
Wesentliche Schwerpunkte des Vortrages sind:
- Veränderungen hinsichtlich des Managements
- Veränderungen hinsichtlich Anhang A
(Neue, veränderte und entfallene Controls)
(Attribute – Controls erhalten Eigenschaften)
- Umsetzungsaufwände und -fristen
Kaffeepause
Von verinice nach Visio und zurück
Eine grafische Strukturanalyse ist nicht nur praktisch, sondern kann auch den im BSI IT-Grundschutz geforderten vereinfachten Netzplan sinnvoll ergänzen. Wie bekommt man die im verinice erfassten Daten in Visio zur Anzeige und ist es möglich gemachte Anpassungen wieder in verinice zu importieren?
Kurzvorstellung: Vorfall-Experte BSI
Die Schulung BSI Vorfall-Experte ist der ideale Einstieg in das Thema Digitale Forensik und Incident Response (DFIR) für alle Verantwortlichen im IT-Sicherheitsbereich.
Social Event
Integration der Informationssicherheit - Erfahrungen bei der Umsetzung der Anforderung ISMS.1.A9
Wie schafft es der Informationssicherheitsbeauftragte, dass sein Thema in alle Geschäftsprozesse und Fachaufgaben integriert wird? An welcher Stelle muss er sich in Projekte einbringen? Welche Prozesse sind zweckmäßig? Der Vortrag beantwortet diese Fragen mit mehr oder weniger guten Beispielen aus der Praxis.
Jeder Standard ein Tool? Nicht zwingend!
Vielerlei Standards werden in der Zukunft auf Behörden und Unternehmen zukommen, je nach Branche oder gesetzlicher Änderung können diese sehr unterschiedlich sein. Pro Branche gibt es sogar mehrere Standards die nicht untereinander kompatibel sind. Wie kann man dies nun konform abbilden? Ein kurzer Praxisbericht und Lösungsvorschläge mit verinice.
Kaffeepause
ISO27001:2022/ISO27005:2022: The next Generation of ISMS
Zur Erstellung einer tragfähigen Sicherheitsarchitektur war der ISO 27001 Standard stets eine verlässliche Vorlage, um den Rahmen von Richtlinien, Regeln, Prozesse,
Verfahren, Organisationsstrukturen sowie Software- und Hardwarefunktionen zu setzen. Der Standard beinhaltete schon immer Anforderung der ständigen Verbesserung, dem der ISO-Standard nun selbst folgt. Auf der bewährten Basis wurde nun eine neue Plattform für Risikokontrollmaßnahmen definiert, welche den aktuellen Anforderungen angepasst und von der Struktur effizienter und zielgerichteter wurde. Daran anknüpfend auch die ISO 27005 mit Ihrem Rahmen zur Risikobewertung und Kontrolle. Hier werfe ich mit Ihnen einen Blick auf die Umsetzung in verinice.
Geheimschutz im BSI IT-Grundschutzkompendium: Was ändert sich mit dem neuen Baustein CON.11.1 Geheimschutz?
Der Geheimschutzbaustein CON.11.1 liegt mittlerweile als Final Draft vor und wird im Grundschutzkompendium 2023 enthalten sein. Was bedeutet das für Behörden, die Verschlusssachen mit dem Geheimhaltungsgrad VS – Nur für den Dienstgebrauch (VS – NfD) verarbeiten? Was ist bei der Konzeption und Freigabe von neuer IT zu beachten, die später VS-NfD verarbeiten soll?
Dieser Vortrag gibt Einblick welchen Einfluss der neue Baustein im Kompendium haben kann und welche Wechselwirkungen mit bereits im Kompendium enthaltenen anderen Prozess- und System-Bausteinen bestehen. Schließlich ist der Geheimschutz „nur“ eine Verschärfung des längst etablierten Schutzziels „Vertraulichkeit“. Zusätzlich wird auch kurz auf die Novellierung der Verschlusssachenanweisung Bund eingegangen.
Mittagspause
Service für IT, Medizin- und Haustechnik im Gesundheitswesen – Praktischer Einsatz des Open Source ITSM-Systems KIX in Krankenhäusern
IT-Organisationen in Krankenhäusern kümmern sich um immer mehr technisches Equipment, denn in heutigen IT-Landschaften wachsen die klassische IT, die Gebäudeautomation und die Medizingerätetechnik immer stärker zusammen. Eine Plattform für alle Serviceteams zu schaffen, ist deshalb in den meisten IT-Abteilungen das Ziel der Einführung oder Optimierung von IT Service Management. Damit sollen alle Anwender des Krankenhauses (IT, Verwaltung, Stationen, Labore,...) ihre Aufträge für Haustechnik, Medizintechnik, Reinigung, IT usw. an einer zentralen Stelle aufgeben.
Die Serviceabläufe in Bereichen der Kritischen Infrastruktur ITIL-konform zu gestalten, ist ratsam, da ITIL international etabliert und entsprechend anerkannt ist. Ebenso sind damit auch Anforderungen aus den für Krankenhäuser wichtigen Sicherheitsanforderungen aus B3S oder ISO27001 abgedeckt. Um die eigene Entscheidungs- und Gestaltungsfreiheit, auch im Sinne der viel propagierten Digitalen Souveränität Öffentlicher Einrichtungen, zu behalten, gelangen Open Source-Softwarelösungen immer mehr ins Blickfeld. KIX ist eine solche Open Source-Software für ITSM und durch umfassende Workflow-Zertifizierung geeignet für die genannten Einsatzbereiche.
Anhand praktischer Beispiele aus drei Krankenhäusern unterschiedlicher Größe, erläutert der Vortrag das jeweilige Projektvorgehen. Er gibt Einblick, wie themenweise vorgegangen wurde und welche Serviceabläufe aufeinander aufbauend umgesetzt wurden. Dabei greift er auch auf, wie die Einbindung unterschiedlicher Akteure im Krankenhaus erfolgte, die nicht tagtäglich mit IT umgehen. Hierzu zählen bspw. die Haustechniker oder der Reinigungsservice. Aber auch medizinisches Personal, welches regelmäßig in technisches Equipment eingewiesen und darauf geschult werden muss. Neben der Ablaufsteuerung für Serviceaufträge, wird ebenso auf die Handhabung regelmäßig wiederkehrender Aufgaben und Wartungsaufträge anhand eines Wartungskalenders eingegangen. Die technische Integration von KIX in die umgebende IT-Landschaft, in Überwachungssysteme, Server- und Clientmanagement-Lösungen runden den Vortrag ab. Während des Vortrags werden den konkreten praktischen Umsetzungen folgend, wichtige Learnings und Handhabungshinweise gegeben.
Ein Experiment mit Folgen: verinice.veo und ChatGPT
Künstliche Intelligenz hat im Jahr 2023 einen enormen Start hingelegt. Das Sprachmodell ChatGPT hat es geschafft, in nur zwei Monaten beeindruckende 100 Millionen Nutzer anzuziehen. Damit dürfte dieses Jahr das Jahr 0 für die Integration von AI in die tägliche Praxis von Wissensarbeitern werden.
Die Auswirkungen von KI auf das Informationssicherheitsmanagement sind weitreichend und werden in kürzester Zeit sichtbar werden. Die Art und Weise, wie wir Cybersicherheitsrisiken analysieren, Maßnahmen einführen und die Einhaltung von Compliance gewährleisten, wird sich dramatisch verändern.
Der Einsatz von KI-gestützten Tools im Informationssicherheitsmanagement hat das Potenzial, die Effizienz und Effektivität unserer Arbeit erheblich zu verbessern - und zwar soweit, dass bestimmte Tätigkeiten und Beratungsfunktionen nahezu vollständig ersetzt werden.
Vor diesem Hintergrund ist es von entscheidender Bedeutung, dass wir lernen, wie wir KI-Unterstützung effektiv in unsere Arbeitsabläufe integrieren können. Menschliche Erfahrung ist zwar nach wie vor unverzichtbar, aber mit Hilfe von KI-Technologie kann diese Erfahrung nun effizienter genutzt werden. Der Vortrag demonstriert dies am Beispiel einer Integration von ChatGPT in das neue verinice.veo.
Roadmap verinice
Abschluss und Verabschiedung bei Kaffee und Kuchen
Konferenzprogramm 2022
verinice.WORKSHOP 1: Umsetzung des modernisierten Grundschutzes in verinice
In diesem Workshop wird ein ISMS für eine einfache Institution mit verinice dokumentiert.
Zunächst werden nach der Vorgehensweise des BSI-Standards 200-2 die Struktur des Informationsverbundes in verinice erstellt, die Zielobjekte verknüpft und der Schutzbedarf dokumentiert. Nach der Modellierung der erforderlichen Prozess- und System-Bausteine erfolgt für ausgewählte Objekte ein Grundschutz-Check, der den Stand der Umsetzung der Grundschutz-Anforderungen in verinice dokumentieren soll.
Anschließend wird für ein Zielobjekt eine Risikoanalyse nach BSI-Standard 200-3 in verinice dokumentiert. Hierfür kommt auch ein benutzerdefinierter Baustein zum Einsatz. Abschließend können die für die Zertifizierung erforderlichen Referenzdokumente A1 bis A6 als Report erzeugt werden.
Für die aktive Teilnahme am Workshop stellen wir Ihnen eine aktuelle verinice-Einzelplatzversion zum Download bereit.
Voraussetzungen:
Die TeilnehmerInnen sollten Grundkenntnisse in Informationssicherheit mitbringen. Kenntnisse der Bedienung von verinice werden nicht vorausgesetzt.
verinice.WORKSHOP 2: Umsetzung der EU-DSGVO mit verinice
Mit der EU-DSGVO sind zahlreiche Anforderungen an die Verarbeitung personenbezogener Daten definiert worden. Die bedeutendste Neuregelung stellt sie sog. Rechenschaftspflicht dar, normiert in Art 5. Abs.2 DS-GVO. Hiernach müssen Unternehmen gegenüber der zuständigen Aufsichtsbehörde nachweisen, dass die Anforderungen aus der EU-DSGVO eingehalten wurden. Bei Verstößen drohen empfindliche Geldbußen.
Im Rahmen des Workshops lernen die TeilnehmerInnen wie sie mit dem Datenschutzmodul in verinice ihren Dokumentations- und Rechenschaftspflichten nachkommen können. Themen sind dabei u.a. Verzeichnis der Verarbeitungstätigkeiten, Dokumentation der technischen und organisatorischen Maßnahmen, Auftragsverarbeitung, Durchführungder Datenschutz-Folgenabschätzung sowie die Dokumentation von Datenschutzvorfällen.
Für die aktive Teilnahme am Workshop stellen wir Ihnen eine aktuelle verinice-Einzelplatzversion zum Download bereit.
Voraussetzungen:
Die TeilnehmerInnen sollten Grundkenntnisse in der Bedienung von verinice mitbringen.
Begrüßung
KeyNote
Neuerungen im B3S Gesundheitsversorgung im Krankenhaus mit Fokus auf Telematik / Informationssicherheit in Krankenhäusern - Starterpaket § 75c SGB V
Impulsvortrag: Mit ganzheitlicher Planung zu organisationaler Resilienz
Ruhe bewahren, wenn andere die Kontrolle verlieren. Was in der Medizin, Gefahrenabwehr oder Luftfahrt als natürlicher Bestandteil des Berufsbildes angenommen wird, gehört bei Unternehmen und Organisationen zur unternehmerischen Verantwortung.
- Wissen Sie, welche Ereignisse Ihnen schaden und wie Sie sich schützen?
- Haben Sie Pläne, mit denen die Aufrechterhaltung der Arbeitsprozesse gewährleistet wird?
- Wie kommunizieren Sie mit Ihren Stakeholdern im Krisenfall?
Mit der Teilnahme an unserem Vortrag erhalten Sie einen Überblick über das Themenfeld "organisationale Resilienz", verstehen die Zusammenhänge zwischen den Managementsystemen und welche Maßnahmen Sie treffen können, um bei Ausfall Ihrer Prozesse oder Ressourcen handlungsfähig zu bleiben - und die Ruhe zu bewahren.
Pause
Längere Pause aufgrund des kurzfristigen Entfalls eines Vortrags.
Penetrationstests als Teil eines ISMS - Grundlagen, Relevanz und mögliche Ansätze
Verschiedene ISMS-Standards haben meist auch verschiedene Anforderungen.
Überschneidungen gibt es jedoch immer. So auch bei dem Thema Penetrationstests.
Die ISO 27001 fordert Prüfungen wie beispielsweise Penetrationstests eher implizit im Control A.18.2.3 ("Überprüfung [...] technischer Vorgaben").
Der IT-Grundschutz des BSI ist hier beispielsweise etwas konkreter und fordert im Rahmeneiniger Grundschutz-Bausteine Penetrationstests als explizite Anforderungen (z. B. bei Webanwendungen: APP.3.1.A22).
Im Rahmen des Vortrags soll aus der Sicht eines ISMS-Beraters und Penetrationstesters zu Beginn erläutert werden, was ein Penetrationstest eigentlich ist, wie ein typisches Projekt abläuft bzw. ablaufen sollte, welche Vorteile ein Penetrationstest überhaupt bietet und welche Fallstricke es möglicherweise geben könnte. Darauf aufbauend werden verschiedene Beispiele und Anwendungsfälle aus Standards herangezogen und in Bezug auf
sinnvolle Umsetzungsmöglichkeiten beleuchtet. Abschließend sollen grundsätzlich sinnvolle Ansätze aufgezeigt werden, wie die Thematik
Penetrationstests in ein ISMS eingebunden werden und was sich durch ein gutes Zusammenspiel der beiden Themen ergeben kann.
Mittagspause
verinice.veo
Das verinice.TEAM vereint für verinice.veo die bewährten fachlichen Stärken mit neuester Webtechnologie als Software-as-a-Service Lösung (SaaS).
Nach 15 Jahren erfolgreicher Entwicklung von verinice, wird verinice.veo auf einer modernen Plattform vollständig neu aufgebaut. Moderne Webtechnologien im Frontend ermöglichen ein Tool, das sich im Browser wie eine Desktop-Anwendung anfühlt und bedienen lässt.
Der Vortrag liefert Antworten auf die häufig gestellten Fragen zum aktuellen Zeitplan der Entwicklung, der Migration von Daten / bestehenden Subskriptionen und dem Preismodell.
Cloud Compliance in verinice - M365 Compliance Manager
Sernet stellt den Cloud Computing Compliance Controls Catalogue (C5) als Modul bereit, der für viele Kunden momentan wichtige Anhaltspunkte zur Absicherung ihrer Cloud Strategie bietet.
Für Sicherheits- und Datenschutzbeauftragte stellt sich oft die Frage, wie im Detail die Sicherheit der Cloud Services bewertet werden kann. Die automatisierte Übernahme des M365 Compliance Manager Reports in Verinice könnte dazu ein hilfreicher Schritt sein.
Abbildung des IKfz3-Verfahrens in verinice
Die Sicherheitsanforderungen an die Zulassungsstellen für den Betrieb der iKfz-Verfahren sind enorm und damit die organisatorischen und technischen Sicherheitsanforderungen an den IT-Betrieb entsprechend komplex. Eingebunden sind die IT-Verfahren und IT-Systeme im Regelfall im IT-Management der Gemeinde.
Wie stellt der Verantwortliche also seinen Informationsverbund iKfz3 entsprechend den Vorgaben dar? Wie weist der Verantwortliche gegenüber den Auditoren die Umsetzung der Sicherheitsanforderungen nach?
Verinice kann hier die Lösung sein.
Pause
Analyse des IT-Grundschutzstandards mit Graphendatenbanken
Die Compliance-Verantwortlichen in Unternehmen und Behörden sind mit einer zunehmenden Anzahl von Standards und Best Practices konfrontiert. Während staatlich finanzierte und staatlich geduldete Cyber-Angriffe weiter zunehmen, werden auch gesetzliche und regulatorische Anforderungen entsprechend zunehmen. Dadurch steigt die Anzahl an umzusetzenden Controls, die Assessment-Zyklen werden kürzer und die Umsetzung von Maßnahmen muss mit hoher Granularität bis hinunter zu einzelnen Control-Aussagen für spezifische Systeme oder gar Systemkomponenten nachweisbar sein.
Der zunehmenden Arbeitsbelastung kann mit Automatisierung begegnet werden. Dabei stellen sich Probleme, die für gängige Technologien zur Herausforderung werden. Der hohe Grad an Beziehungen in Maßnahmenkatalogen wie dem IT-Grundschutz oder dem NIST 800-53 führt bei Abfragen über 4 oder mehr Rekursionsebenen schnell zu Ergebnismengen, die mit relationalen Datenbanken schwer zu verarbeiten sind. Neue Ansätze versprechen hier Lösungen. Ein solcher Ansatz ist die Verwendung moderner Open Source-Graphendatenbanken.
Der Grundschutzstandard wird vom verinice-Team bereits in ein maschinenlesbares Format umgewandelt. Dieses Format kann konvertiert und für Graphendatenbanken nutzbar gemacht werden. Dadurch entstehen neue Auswertungsmöglichkeiten und neue Erkenntnisse, die im Vortrag mit Hilfe der Community-Version der Neo4J-Datenbank live präsentiert werden.
verinice Roadmap (verinice & verinice.veo)
„Content is King" - unter diesem Motto wird verinice auch im Jahr 2022 weiter entwickelt. Während die technische Entwicklung stark auf die neue rein web-basierte Version "verinice.veo" fokussiert ist, arbeitet das Fachteam unter Leitung von Michael Flürenbrock daran, weitere Inhalte in neuen Modulen für verinice bereitzustellen.
Michael Flürenbrock gibt einen Einblick in den aktuellen Stand sowie die weitere Planung rund um verinice/verinice.veo.
Schlusswort
Konferenzprogramm 2021
verinice.WORKSHOP 1: Umsetzung des modernisierten Grundschutzes in verinice
In diesem Workshop wird ein ISMS für eine einfache Institution mit verinice dokumentiert.
Zunächst werden nach der Vorgehensweise des BSI-Standards 200-2 die Struktur des Informationsverbundes in verinice erstellt, die Zielobjekte verknüpft und der Schutzbedarf dokumentiert. Nach der Modellierung der erforderlichen Prozess- und System-Bausteine erfolgt für ausgewählte Objekte ein Grundschutz-Check, der den Stand der Umsetzung der Grundschutz-Anforderungen in verinice dokumentieren soll.
Anschließend wird für ein Zielobjekt eine Risikoanalyse nach BSI-Standard 200-3 in verinice dokumentiert. Hierfür kommt auch ein benutzerdefinierter Baustein zum Einsatz. Abschließend können die für die Zertifizierung erforderlichen Referenzdokumente A1 bis A6 als Report erzeugt werden.
Voraussetzung: Die TeilnehmerInnen sollen Grundkenntnisse in Informationssicherheit mitbringen. Kenntnisse der Bedienung von verinice werden nicht vorausgesetzt.
verinice.WORKSHOP 2: Modernisierter Grundschutz – Die ultimative Perspektive!
In diesem Workshop stellen wir die Möglichkeiten vor, die modernisierte Grundschutzperspektive für weitere anforderungsbasierte Vorgehensweisen zu nutzen. Im Workshop werden die ISO27001 und 27002 im modernisierten Grundschutz dargestellt.
Durch die TeilnehmerInnen können folgend Vorschläge für andere Vorgehensweisen gemacht werden, deren Umsetzung im Workshop dann besprochen und ggf. sogar in der praktischen Umsetzung gezeigt werden kann.
Begrüßung
Verinice beyond ISMS - Mit Verinice integrierte Management Systeme managen
Mit der offenen Struktur von verinice besteht die Möglichkeit zu einem
existierenden ISMS und DSMS weitere Managmentsysteme zu integrieren und verwalten.
Risikomanagement, Assetmanagement (gruppiert) und andere für alle Managementsysteme wichtigen Grundlagen können mit verinice dokumentiert und verwaltet werden.
Pause
Neuerungen im BSI IT-Grundschutz Kompendium 2021
In diesem Vortrag erhalten Sie einen Überblick über die Neuerungen im BSI IT-Grundschutz Kompendium 2021.
Keywords: Bausteine, Vergleich, Änderungen, Neuerungen, Zusammenfassung
Unterstützung der ISO 27001-Zertifizierung durch den Einsatz des IT-Service Management Systems KIX - Ein Impulsbericht
Stadtwerke haben für ihre Fernwirkanlagen die gesetzliche Forderung einer Zertifizierung nach IT-Sicherheitskatalog zu erfüllen. Sie müssen ein Informationssicherheits-Managementsystem (ISMS) nach dem IT-Sicherheitskatalog unter Verwendung der DIN-ISO-Normen 27001 und 27019 einrichten und verwenden. Dienstleister dieser Stadtwerke haben ebenso eine Zertifizierung nach DIN-ISO 27001 nachzuweisen.
Der Vortrag gibt Impulse anhand praktischer Beispiele wie für die IT- und die Security-Organisation lückenlose Arbeitsabläufe zwischen Information Security Management und IT Service Management (ITSM) umsetzbar sind und damit die Anforderungen an die ISO 27001-Zertifizierung unterstützt.
Wie wird mit der ITSM-Software KIX der Aufbau eines ISMS unterstützt? Welche Forderungen aus den Normkapiteln und der Anwendbarkeitserklärung (SOA) werden durch KIX nach ITIL unterstützt. Welche Rollen spielen dabei die CMDB und der Wartungsplaner? Wie integriert sich das ISMS-Tool verinice als wichtige Komponente hierbei hinein?
Mit KIX und verinice schnell DIN-ISO 27001 konform – das ist erfolgreich, wenn IT- und Sicherheitsteams gemeinsam agieren.
Mittagspause
Die häufigsten Fehler bei der Einführung eines ISMS mit einem Tool
Wir erleben im Rahmen von Kritis-Betreibern immer häufiger die Tendenz ein Tool für ein ISMS einzusetzen. Jedoch sind diese Entscheidungen nicht immer durchdacht.
Im Rahmen dieses Vortrags werden die häufigsten Fehler bei der Einführung eines ISMS mit einem Tool näher betrachet.
Microsoft 365 Sicherheitskonzept in verinice
In unserer Präsentation zur Tenant Security von Microsoft 365-Umgebungen erfahren Sie praktisch, wie Sie die für Ihre Organisation angemessen Sicherheitsanforderungen identifizieren und datenschutzkonform umsetzen. Nutzen Sie Anwendungen wie Teams, SharePoint, Planner und weitere Applikationen sicher.
Pause
verinice.veo - Technische Umsetzung sowie technische & fachliche Vorteile
Unter dem Namen "verinice.veo" erstellt SerNet derzeit die nächste Generation von verinice. Vollständig web-basiert und mit modernen technischen Backends wird diese Version sowohl "on-premise" im eigenen Netz als auch in der Cloud nutzbar sein.
Michael Flürenbrock (product owner) und Daniel Murygin (Entwicklungsleiter) berichten über die verschiedenen Module in verinice, die bleibenden und neuen Eigenschaften und den Fahrplan für Veröffentlichung und Migration in 2021 und 2022.
Review Konferenztag 1 und Ausblick auf Tag 2
Social Event - Digital!
Wir freuen uns auf ein getrennt-gemeinsames digitales Social Event mit allen TeilnehmerInnen der Konferenz.
Bleiben Sie für die Teilnahme einfach direkt im Zoom-Meeting der Konferenz.
Begrüßung Konferenztag 2
IT-Sicherheitsgetz 2.0 - quo vadis?
Boban Kršić ist CISO bei der DENIC eG in Frankfurt und unter anderem Leiter des "Branchenarbeitskreises Internetinfrastruktur" im "UP-KRITIS". In diesem Vortrag berichtet er über das IT-Sicherheitsgesetz 2.0 und dessen Auswirkungen auf die technische und fachliche Entwicklung von IT-Sicherheit und -Compliance in Deutschland.
Pause
Was kosten Databreaches? Finanzielle Argumente für die Erbsenzähler
Data Breaches erscheinen täglich in den Medien. Trotzdem kümmert sich nur ein kleiner Teil der Unternehmen strukturiert und geplant um eine angemessene Informationssicherheit mit Werkzeugen wie Verinice. Viele Verantwortliche vermeiden dieses Thema trotz der substanziellen finanziellen Risiken.
Wiederholt wurden die potentiellen Risiken in einer Studie untersucht. In diesem Vortrag wird ein Überblick über eine IBM Studie gegeben, bei der in 17 Ländern über 500 Organisationen untersucht worden sind, welche Opfer eines Data Breaches geworden sind.
Ziel ist es, Ihnen finanzielle Argumente für die notwendigen Untersuchungen bei einem finanziell orientierten Management an die Hand zu geben, um deren Zustimmung zu Arbeiten an der Informationssicherheit zu erreichen.
Aus verinice das Management begeistern
Out of the box generiert verinice die wichtigsten Berichte für Auditor und ISB. Für die Kommunikation mit dem Management bedarf es aber vereinfachter Darstellung, die dringende Fragestellungen grafisch plausibel macht. In diesem Vortrag wird präsentiert, wie mit dem Report Generator die wichtigsten Infos ausgewählt sowie in Excel aufbereitet werden.
Eine Darstellung der Abhängigkeiten von Prozess zu Anwendung etc. braucht das Management nicht als Fließtext. In diesem Vortrag lernen Sie, wie mit möglichst wenig Aufwand die benötigten Informationen aus verinice exportiert und mit einen Graphen Tool gezeichnet werden können.
Mittagspause
Wenn es wirklich zählt - Besseres Schwachstellen-Management in fünf Minuten
Conficker, Citrix-Lücke, Pegasus: spätestens wenn sogar die Tagesschau über Schwachstellen berichtet, denken die meisten IT-Verantwortlichen über möglichen Handlungsbedarf im eigenen Netzwerk nach. Die meisten Unternehmen etablieren inzwischen eine gute Update-Policy zur Reduktion von Software-Schwachstellen. Ab und an gibt es allerdings Schwachstellen, die so kritisch sind, dass sie außerhalb des regulären Patch-Zyklus behandelt werden müssen. Wie entdeckt man solche Schwachstellen und wann reagiert man darauf? Man kann tagtäglich die Nachrichten und soziale Medien durchforsten, um rechtzeitig gewarnt zu sein. Es gibt allerdings noch eine andere Möglichkeit.
verinice Roadmap
"Content is King" - unter diesem Motto wird verinice im Jahr 2021 weiter entwickelt. Während die technische Entwicklung stark auf die neue rein web-basierte Version "verinice.veo" fokussiert, arbeitet das Fachteam unter Leitung von Michael Flürenbrock daran, weitere Inhalte in neuen Modulen für verinice bereit zu stellen. Siehe dazu auch den stark ausgebauten Bereich "Content" im verinice.SHOP.
Die für 2021 geplanten Versionen 1.22 (Frühjahr) und 1.23 (Herbst) werden im Vortrag inhaltlich und technisch vorgestellt.
Schlusswort
Konferenzprogramm 2020
verinice.WORKSHOP 1: Integration weiterer Standards in verinice am Beispiel von B3S für Healthcare
Mit der Veröffentlichung des branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser liegt seit Anfang 2019 der Standard für IT-Sicherheit im Krankenhaus beim BSI. Dieser ist nun in der Version 1.1 vom BSI als B3S Standard freigegeben. Der Standard gibt nicht nur vor, welche Schutzziele der ISO 27001 in einer Umsetzung für die IT vorgenommen werden müssen, sondern auch, dass ein Informationssicherheits Risikomanagement (ISMS-Risikomanagement) zu etablieren ist. Es sind spezielle Anforderungen und Systeme definiert.
In diesem Workshop wird den Teilnehmern die Integration von B3S in verinice aus Anwendersicht anhand von zahlreichen praktischen Beispielen nähergebracht.
Dieser Workshop ist für fortgeschritte verinice-Anwender konzipiert.
verinice.WORKSHOP 2: Umsetzung des modernisierten Grundschutzes in verinice
Im Workshop wird ein ISMS für eine einfache Institution mit verinice dokumentiert. Zunächst werden nach der Vorgehensweise des BSI-Standards 200-2 die Struktur des Informationsverbundes in verinice erstellt, die
Zielobjekte verknüpft und der Schutzbedarf dokumentiert. Nach der Modellierung der erforderlichen Prozess- und System-Bausteine erfolgt für ausgewählte Objekte ein Grundschutz-Check, der den Stand der Umsetzung der Grundschutz-Anforderungen in verinice dokumentieren soll.
Anschließend wird für ein Zielobjekt eine Risikoanalyse nach BSI-Standard 200-3 in verinice dokumentiert. Hierfür kommt auch ein benutzerdefinierter Baustein zum Einsatz. Abschließend können die für die Zertifizierung erforderlichen Referenzdokumente A1 bis A6 als Report erzeugt werden.
Voraussetzung: Die TeilnehmerInnen sollen Grundkenntnisse in Informationssicherheit mitbringen. Kenntnisse in Bedienung in verinice werden nicht vorausgesetzt.
verinice.WORKSHOP 3: IT-Grundschutz und Datenschutz: Hand in Hand mit verinice
Durch die stetige Digitalisierung müssen Unternehmen und Behörden Informationssicherheit zielgerichtet organisieren und kontinuierlich weiterentwickeln. Gleichzeitig sind Organisationen gemäß der DSGVO verpflichtet Datenschutzmaßnahmen umzusetzen. Die Herausforderungen in der Praxis bestehen einerseits in der Verzahnung von Informationssicherheit und Datenschutz sowie einer angemessenen und pragmatischen Dokumentation andererseits. So klar es auf den ersten Blick auch erscheint, die Grenzen zwischen Informationssicherheit und Datenschutz verschwimmen in der Praxis wiederkehrend, weshalb eine Zuordnung zu einem dieser Gebiete häufig eine Herausforderung darstellt.
Was muss eigentlich dokumentiert werden, und wie? Im Rahmen des Workshops stehen die Einführung in das Tool verinice im Bereich Sicherheitsmanagement sowie die Umsetzung des Datenschutzes mit Hilfe von verinice im Fokus. Mit Beispielen aus der Praxis und best practices soll gemeinsam an den einzelnen Aspekten, insbesondere im Bereich des Datenschutzes gearbeitet werden. Themen dabei sind u.a. die Umsetzung der Dokumentations- und Informationspflichten sowie der Umgang mit Risiken in den Ökosystemen Datenschutz und Informationssicherheit.
Fragestellungen der AnwenderInnen werden auch ausreichend Raum haben. Der praktische Austausch steht im Vordergrund des Workshops.
verinice.WORKSHOP 4: ISO 27001 und Datenschutz 3.0
verinice Grundlagen
Der leichte Einstieg in verinice. Allgemeine Bedienung und Einrichtung, Perspektiven, Views und generelle Einstellungen.
Best Practice ISO
Strukturabbildung, Business Impact und Controls. Aufbau des ISMS nach ISO 27001.
Risk Assessment mit verinice
Durchführung der Risikoanalyse und des Risikomanagements nach ISO 27005.
Umsetzung der EU-DSGVO mit verinice
Verzeichnis der Verarbeitungstätigkeiten, Auftragsdatenverarbeitung, Risk Assessment und Datenschutz-Folgenabschätzung
Registrierung
Begrüßung
Gemeinsam statt einsam! Mit Outsourcing-Partnern Sicherheit managen
Pause
Mindeststandards nach §8 Abs. 1 BSIG - Ein definiertes Sicherheitsniveau für die Informationstechnik des Bundes
Mittagspause
Das Zusammenspiel ext. DSB und ISB im Tagesgeschäft - wie im Team mit verinice.PRO Anfragen, Informationen, Dateien aktuell gehalten werden, Aufgaben verteilt und der Fortschritt überwacht werden kann.
Risikoanalyse zwischen BSI 200-3 und DIN/ISO 27005
Pause
Migration von BSI 100 auf BSI 200
IT-Grundschutz im Rest der Welt: Cybersecurity Framework und NIST SP 800-53
ISMS in einem Landratsamt - die Balance zwischen begrenzten Ressourcen, dem Wunsch nach korrektem Verwaltungshandeln und angemessener Sicherheit
Social Event
im Konferenzhotel
Modernisierter IT-Grundschutz am Beispiel des Universitätsklinikums Halle (Saale)
Gesetzeskonforme Datenschutz-Folgenabschätzung mit verinice.PRO
Pause
Integrierte Security Management-Workflows mit verinice.PRO und dem ITSM-System KIX Pro – Ein Praxisbericht
Datenschutzmanagement nach der ISO/IEC 27701
Mittagspause
Teilautomatisierte Risikoanalyse nach ISO 27005 durch Integration mit SecuriCAD
Sprung durch die Welten – das ISMS als zentraler Knotenpunkt in Europas größtem Universitätsklinikum
Pause
Sicherheitsdokumentation mit Asciidoctor
verinice Roadmap
Konferenzprogramm 2019
verinice.XP-Workshops
ISO 27001
verinice Grundlagen
Der leichte Einstieg in verinice. Allgemeine Bedienung und Einrichtung, Perspektiven, Views und generelle Einstellungen.
Best Practice ISO
Strukturabbildung, Business Impact und Controls. Aufbau des ISMS nach ISO 27001.
Risk Assessment mit verinice
Durchführung der Risikoanalyse und des Risikomanagements nach ISO 27005.
Modernisierter IT-Grundschutz
verinice Grundlagen
Der leichte Einstieg in verinice. Allgemeine Bedienung und Einrichtung, Perspektiven, Views und generelle Einstellungen.
Best Practice Modernisierter IT-Grundschutz
Strukturabbildung, Schutzbedarf, Baustein-Modellierung und IT-Grundschutz-Check. Die BSI-Standards 200-1, 200-2 und 200-3 in verinice.
Risikoanalyse mit verinice
Überblick über die Risikoanalyse in verinice.
Mittagspause
Das Datenschutzmodul
Umsetzung der EU-DSGVO mit verinice (Verzeichnis der Verarbeitungstätigkeiten, Auftragsdatenverarbeitung, Risk Assessment und Datenschutz-Folgenabschätzung).
Die Mehrbenutzerfunktionalität in verinice.PRO
Einstieg in die verinice-Rechteverwaltung. Erzeugen und Bearbeiten von Aufgaben mit dem generischen Workflow in Client und Webfrontend.
Pause
verinice-Customizing
Benutzerspezifische Anpassungen in verinice (SNCA.xml, snca- messages_de.properties und snca-messages.properties).
verinice-Reporting
Daten für Excel und Co. als Report-Abfragen in verinice erzeugen . Report-Abfragen als Datasets im v.Designer. Report-Templates im v.Designer erzeugen und ausrollen.
Registrierung zur Konferenz
Registrierung im Hotel Radisson Blu
Begrüßung
Keynote: Der Migrationsweg zum neuen IT-Grundschutz – Erfahrungen und Hinweise aus der Zertifizierung im ITDZ Berlin
Praxisbericht - Umsetzung eines ISMS im Behördenumfeld am Beispiel des Landratsamtes Karlsruhe
Mittagspause
Best Practices mit verinice im Umfeld eines Energienetzbetreibers sowie das IT-Grundschutz-Profil: Basis-Absicherung Kommunalverwaltung
SIEM Betrieb im SOC - Strategien zur Erkennung und Reaktion auf Cybersicherheitsvorfälle
Pause
Erfolgreiche Umsetzung der ISO 27001 in KMU
Datenschutzmodul 3.0. in verinice
Die Kopplung zwischen Greenbone und verinice – eine live Tech-Show (im Modernisierten IT-Grundschutz als Ausblick)
Social Event im Konferenzhotel
B3S-IT-Sicherheitskonzepte mit verinice - von individuellen Katalogen zur Abbildung besonderer Anforderungen in kommunalen Grundschutzprofilen
Modernisierter BSI-Grundschutz für kritische Infrastrukturen – verinice bei der Charité Universitätsmedizin Berlin
Pause
Was haben wir aus KRITIS gelernt?
Umsetzung der DSGVO in einem „losen Konzernverbund“ mit Hilfe der Software verinice
Mittagspause
Roadmap verinice
verinice als Werkzeugkoffer im ISMS
Sicherheit geht nur gemeinsam – Wie in der Praxis IT-Service Management und Security Management mit KIX und verinice zusammenrücken
Abschiedsrunde bei Kuchen & Kaffee
Konferenzprogramm 2018
verinice.XP-Workshops
ISO 27001
verinice Grundlagen
Der leichte Einstieg in verinice. Allgemeine Bedienung und Einrichtung, Perspektiven, Views und generelle Einstellungen.
Best Practice ISO
Strukturabbildung, Business Impact und Controls. Aufbau des ISMS nach ISO 27001.
Risk Assessment mit verinice
Durchführung der Risikoanalyse und des Risikomanagements nach ISO 27005.
Modernisierter IT-Grundschutz
verinice Grundlagen
Der leichte Einstieg in verinice. Allgemeine Bedienung und Einrichtung, Perspektiven, Views und generelle Einstellungen.
Best Practice Modernisierter IT-Grundschutz
Strukturabbildung, Schutzbedarf, Baustein-Modellierung und IT-Grundschutz-Check. Die BSI-Standards 200-1, 200-2 und 200-3 in verinice.
Umstieg vom GSTOOL
Überblick über den GSTOOL-Datenimport in verinice.
Mittagspause
Das Datenschutzmodul
Umsetzung der EU-DSGVO mit verinice (Verzeichnis der Verarbeitungstätigkeiten, Auftragsdatenverarbeitung, Risk Assessment und Datenschutz-Folgenabschätzung).
Die Mehrbenutzerfunktionalität in verinice.PRO
Einstieg in die verinice-Rechteverwaltung. Erzeugen und Bearbeiten von Aufgaben mit dem generischen Workflow in Client und Webfrontend.
Pause
verinice-Customizing
Benutzerspezifische Anpassungen in verinice (SNCA.xml, snca- messages_de.properties und snca-messages.properties).
verinice-Reporting
Daten für Excel und Co. als Report-Abfragen in verinice erzeugen . Report-Abfragen als Datasets im v.Designer. Report-Templates im v.Designer erzeugen und ausrollen.
Registrierung zur Konferenz
Registrierung im Hotel Sofitel Ku'Damm