Archiv
Rückblick verinice.XP 2025
Keynote Fortentwicklung des IT-Grundschutzes zu IT-Grundschutz++
Praxisnah und flexibel. Schon 1994 war dies der Grundgedanke für die IT-Sicherheitsempfehlungen, als die erste Ausgabe des IT-Grundschutzhandbuches herauskam. Drei Jahrzehnte später hat sich nicht nur die Welt um den IT-Grundschutz geändert, sondern auch der IT-Grundschutz selbst. Er wurde mehrfach vollständig überarbeitet, so dass er jederzeit als Werkzeug genutzt werden kann, um Informationssicherheit in Institutionen zu schaffen und aufrechtzuhalten.
Auch zum derzeitigen Zeitpunkt wird der IT-Grundschutz agil unter dem Stichwort "IT-Grundschutz++" mit den Zielen weiterentwickelt, den Umfang und die bei der Umsetzung entstehenden Dokumentationsaufwände auf das notwendige Mindestmaß zu reduzieren, eine Priorisierung der Anforderungen vorzunehmen, Leistungskennzahlen aus den erfüllten Anforderungen zu errechnen sowie die Anwendung von Automatisierungstools weitestgehend zu ermöglichen.
Die Keynote wird die Vision von IT-Grundschutz++ zeigen sowie über den aktuellen Stand der agilen Weiterentwicklung informieren und einen Ausblick geben, was den zukünftigen IT-Grundschutz auszeichnen wird.
Prototyp IT-Grundschutz++ in verinice.veo
Maschinenlesbar, automatisierbar und agil soll der neue IT-Grundschutz++ werden. Das verinice.Team stellt einen ersten Prototypen in der neuen Produktgeneration verinice.veo vor und erläutert die grundlegenden Konzepte der Neuerungen.
Richtlinien sind gefüllte Lückentexte
Wie sich die Erstellung von Richtlinien (teil-) automatisieren lässt.
Für unsere Organisationen brauchen wir Bündel von Richtlinien. Allein für die ISO 27001 ca. 30 und für den aktuellen Grundschutz über 50. Dazu kommen dann noch Arbeitsschutz, Qualitätsmanagement und eine Vielzahl von Compliance-Themen. Die Erstellung und Pflege dieser Vorgaben binden mehr Ressourcen als eigentlich für die Aufgabe verfügbar.
Wie kann aus zentralen Vorgaben, in verinice.veo bereits erfassten Daten und einer Prise KI dieser Prozess beschleunigt und automatisiert werden?
Vorteile einer offenen API: Workflow Anbindung für verinice.veo
Ein entscheidender Vorteil von verinice.veo liegt in der offenen API, die eine nahtlose Integration mit verschiedenen Third-Party-Tools und Plattformen ermöglicht. Dieser Vortrag demonstriert die Integration mit der leistungsstarken Open Source Workflow-Engine "Windmill" und hebt deren Mehrwert für Informationssicherheitsbeauftragte und Datenschützer hervor.
Wir demonstrieren, wie Workflows gezielt eingesetzt werden, um zentrale Aufgaben zu automatisieren, wie etwa die Umsetzung und Prüfung von Controls, das Erfassen und Verwalten von Assets sowie die effiziente Bearbeitung von Sicherheitsvorfällen. Die Teilnehmer erhalten praxisnahe Einblicke wie wiederkehrende Tätigkeiten durch Automatisierung optimiert werden können, um die Effektivität und Effizienz ihres ISMS/DSMS zu steigern.
Umsetzung des B3S Krankenhaus im Sächsischen Krankenhaus Rodewisch - Ein Projekterfahrungsbericht
Krankenhäuser sind nach SGB V § 391 verpflichtet, nach dem Stand der Technik angemessene Vorsorge zu treffen, um Ausfälle oder eine Beeinträchtigung des Krankenhausbetriebs zu vermeiden. Diese Verpflichtung kann durch Anwendung des Branchenspezifischen Sicherheitsstandards (B3S) erfüllt werden. Außerdem verpflichtet das Sächsische Informationssicherheitsgesetz das Sächsische Krankenhaus Rodewisch als staatliche Einrichtung zur Anwendung des BSI Grundschutzes.
Unter diesen Gesichtspunkten wurde im Rahmen des Krankenhauszukunftsgesetzes (KHZG) ein Projekt gestartet, um ein B3S- und BSI-Grundschutz konformes ISMS aufzubauen und zu etablieren. Dabei konnte auf die seit Jahren im Einsatz befindliche Open-Source-Lösung KIX als CMDB aufgesetzt werden. Für die ISMS-Dokumentation sollte mit verinice ebenfalls eine Open-Source-Lösung zum Einsatz kommen. Durch die Kopplung von CMDB und ISMS über eine Schnittstelle werden Synergien genutzt.
Der Vortrag behandelt die Herangehensweise, die Projektumsetzung und die Gestaltung der Schnittstelle zwischen ISMS und CMDB. Dabei werden insbesondere die Zuordnung von Grundschutz-Zielobjekten in verinice zu Configuration Items in der KIX-CMDB, die Einbindung von Medizin- und Versorgungstechnik sowie die Workflows zur Bearbeitung von Grundschutz-Anforderungen als Ticket und die Einbindung des externen ISB vorgestellt.
Mapping von IT-Grundschutz und NIS2 in verinice für die öffentliche Verwaltung
Die Informationssicherheit steht durch die Anforderungen der NIS2-Richtlinie vor Herausforderungen. Eine Betroffenheit der öffentlichen Verwaltung wird zunehmend diskutiert. Bei einem vorhandenen Informationssicherheitskonzept nach IT-Grundschutz lassen sich die Anforderungen der NIS2-Richtlinie mit überschaubarem Aufwand umsetzen. Wir geben Ihnen in unserem Vortrag einen Ausblick zur praktischen Umsetzung in verinice.
NIS2: Von der gesetzlichen Anforderung in die praktische Umsetzung
Die NIS-2-Richtline soll in Deutschland durch das NIS2UmsuCG umgesetzt werden. Dieses neue Gesetz stellt mannigfaltige Anforderungen an die Unternehmen, die davon betroffen sind. Welche Anforderungen dies konkret sind und wie diese in der Praxis mit Hilfe von verinice im Unternehmen umzusetzen können, soll der Vortrag veranschaulichen.
Einführung von verinice in eine große Organisation - ein Projekterfahrungsbericht
Die Einführung eines neuen ISMS-Tools ist eine anspruchsvolle Aufgabe, die viele Herausforderungen mit sich bringt. In diesem Vortrag teilen wir unsere Erfahrungen aus einem umfangreichen Projekt, bei dem eine große Organisation diesen Schritt gewagt hat. Wir berichten über die Hürden, die wir überwinden mussten, und die Erkenntnisse, die wir dabei gewonnen haben. Ziel des Vortrags ist es, einen realistischen Einblick in einen Wechsel des ISMS-Tools zu geben und andere Organisationen von unseren Erfahrungen profitieren zu lassen.
ISO 27032 - Noch ein Managementsystem. Einordnung & Relevanz
ISO 27032 ist eine vergleichsweise neue Norm, die speziell auf die Herausforderungen der Cybersicherheit abzielt und sich durch einen praxisorientierten Ansatz auszeichnet. Der Standard versteht sich als Ergänzung zu bestehenden Frameworks wie der ISO 27001 und adressiert insbesondere die Zusammenarbeit zwischen verschiedenen Stakeholdern, um Bedrohungen effektiv zu begegnen. Dieser Vortrag ordnet die ISO 27032 im Kontext bestehender Sicherheitsstandards ein, beleuchtet die zentralen Inhalte der Norm und zeigt deren Potenzial zur Verbesserung der Cybersicherheitslandschaft auf.
Gleichzeitig wird kritisch hinterfragt, ob die ISO 27032 tatsächlich einen notwendigen Mehrwert bietet oder lediglich ein weiteres Element in der ohnehin komplexen Landschaft der Managementsysteme und Standards darstellt. Anhand praxisnaher Beispiele werden mögliche Redundanzen mit anderen Standards analysiert und die sinnvolle Integration in Unternehmen zur Optimierung der Sicherheitsstrategien entworfen.
Grafischer Netzstrukturplan aus der verinice-Strukturanalyse
Der BSI-Standard 200-2 geht bei der Strukturanalyse von einem "bereinigten Netzplan" aus. Auch KRITIS-Betreiber müssen nach GAIN einen Netzstrukturplan vorlegen, der die “Anlage” passend abstrahiert und verständlich beschreibt. Ein solcher Netzplan ist aber schwer zu bekommen. Die Netzwerker haben nur eine "Tapete" mit allen Switches – Server- und Client-Admins schicken einen wieder zu den Netzwerkern. Also ist selbst zeichnen angesagt… oder? Die im Netzplan darzustellenden Assets/Zielobjekte sind eigentlich schon verinice erfasst. Wenn die Verknüpfungen zweckmäßig angelegt sind, kann durch deren Export ein Graph automatisiert erstellt werden – und man spart sich das Zeichnen.
Visualisierung von Verknüpfungen in verinice.veo
Die offene API von verinice.veo ermöglicht eine umfassende grafische Visualisierung aller Verknüpfungen in Ihrem Informationssicherheitsmanagement. Risiken können beispielsweise mit Szenarien, Assets, Prozessen oder Informationsverbünden verknüpft und dargestellt werden. Ebenso lassen sich ein- und ausgehende Links zwischen Informationsverbünden übersichtlich abbilden. Der Vortrag behandelt diese flexible Visualisierung, die für alle Arten von Verknüpfungen gelten und einen klaren Überblick über Zusammenhänge und Abhängigkeiten bieten – eine wertvolle Unterstützung für effektives Risikomanagement und Entscheidungsprozesse.
verinice Roadmap
Rückblick verinice.XP 2024
Begrüßung
Keynote: NIS2 und KRITIS-Dachgesetz – was kommt auf Unternehmen und Behörden zu?
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz wird die Regulierung Kritischer Infrastrukturen in Deutschland umfassend erweitert. Ab 2024 fallen neben KRITIS-Betreibern viele Unternehmen, Betriebe und auch Behörden unter neue Cybersecurity-Regulierung. Die mannigfaltigen Anforderungen für IT-Sicherheit und Resilienz fordern von betroffenen Organisationen ein robustes Management, nachhaltige Strukturen und Prozesse im ISMS und BCMS. Wir zeigen die wichtigsten Neuerungen und Anforderungen an Unternehmen und Behörden aus der NIS2-Umsetzung und KRITIS-Dachgesetz.
Das Standard-Datenschutzmodell 3.0 und verinice
Mit dem Standard-Datenschutzmodell (SDM) wird ein Werkzeug bereitgestellt, mit dem die Auswahl und die kontinuierliche Evaluation technischer und organisatorischer Maßnahmen unterstützt wird, die sicherstellen und den Nachweis dafür erbringen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DS-GVO erfolgt. Die Abbildung des SDM in verinice ermöglicht die praktische Anwendung des SDM.
Kritis Abwasser: Umsetzung mit verinice
In diesem Vortrag wird ein Einblick in ein verinice ISMS-Projekt mit dem Fokus des B3S Abwasser gegeben.
Inhaltlich werden die konkreten Anforderungen an das ISMS beleuchtet und ebenso ein Einblick in die erfolgte Umsetzung mit verinice gegeben, wie z.B die erfolgte Aufteilung der IT-Verbünde und die Implementation der Anforderungen des B3S.
WiBA – Ihr toolbasierter Weg in die Basis-Absicherung
Das BSI hat das Konzept "Weg in die Basis-Absicherung" (WiBA) entwickelt, um Kommunen systematisch bei der Implementierung von Informationssicherheitsmaßnahmen zu unterstützen und die Risiken von Cybervorfällen zu minimieren.
In diesem Vortrag wird das WiBA-Konzept vorgestellt und mithilfe von verinice umgesetzt.
Sehr hübsch 2.0 – Erwartungen an verinice.veo
Die DEVK setzt seit einigen Jahren auf verinice.PRO als Tool für das Informationssicherheitsmanagement. Neben einer kurzen eigenen Vorstellung, wird im Rahmen dieses Anwendervortrags das aktuelle Setup beleuchtet und daraus ableitend die Erwartungen an das "verinice der zweiten Generation" auf Basis der neuen Technologieplattform verinice.veo formuliert.
Der IT-Grundschutz im neuen "verinice ISMS"
Das verinice-Team stellt den aktuellen Entwicklungsstand des IT-Grundschutz in der neuen webbasierten verinice-Generation vor. Neben grundsätzlichen Funktionalitäten werden insbesondere auch Neuerungen und Verbesserungen gegenüber dem bisherigen verinice dargestellt.
Mit Open Source und offener API – ein Dashboard für verinice.veo
verinice.veo ist ein Open-Source-Tool mit einer offenen API, das seinerseits auf Open-Source-Technologien wie PostgreSQL, Spring-Boot und VUE aufsetzt. Diese Architektur unterstützt eine nahtlose Integration mit einer breiten Palette von Open-Source-Software.
Dieser Vortrag demonstriert die Einbindung des AGPL-Projekts Metabase für die Erstellung interaktiver Dashboards unter Verwendung von veo-Daten. Durch eine Live-Demonstration werden die Teilnehmer die Vorteile und Möglichkeiten der Integration von verinice.veo mit 3rd-Party-Tools über die offene API nachvollziehen können.
Roadmap verinice
Rückblick verinice.XP 2023
Begrüßung
Keynote: Aktuelles zur IT-Sicherheitslage
Wie erkläre ich das dem Chef? - Informationssicherheits-Risiken identifizieren und berichten
Die Grundschutz-Methodik erfordert viel Fleißarbeit: Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Grundschutz-Check.... bis zur Risikoanalyse haben es noch nicht viele geschafft. Doch ohne Kommunikation von Risiken kann das Management keine Entscheidungen zur Verbesserung der Sicherheit treffen.
Im Vortrag wird gezeigt, wie durch eine zweckmäßige Risikomatrix und Konzentration auf wesentliche Zielobjekte Risiken identifiziert und per Report-Abfrage zu für das Management verständlichen Excel-Diagrammen aufbereitet werden.
verinice DSMS
Sirin Torun stellt den verinice Datenschutzmanager auf der neuen Plattform verinice.veo vor.
Die neue ISO 27001 – Was kommt auf uns zu?
Im Oktober 2022 wurde eine Neufassung der ISO 27001 veröffentlicht. Anwendende stehen vor der Herausforderung ihr etabliertes ISMS auf die neue Norm hin anzupassen. In der Praxis erleben wir, dass die Neuerungen der Norm aktuell noch viele Fragen aufwerfen.
Im Vortrag sollen daher überblicksartig die Unterschiede zwischen der neuen und bisherigen ISO 27001 aufgezeigt werden. Darauf aufbauend werden Optionen aufgezeigt, wie Potentiale in der neuen Norm erkannt und erschlossen werden können. Insbesondere widmen wird uns den veränderten Controls (Referenzmaßnahmen) aus Anhang A. Es werden Möglichkeiten aufgezeigt, wie notwendige Änderungen zielgerichtet initiiert und angemessen umgesetzt werden können. Abschließend sollen in einem Fazit mögliche Vor- und Nachteile nochmal zusammengefasst werden.
Wesentliche Schwerpunkte des Vortrages sind:
- Veränderungen hinsichtlich des Managements
- Veränderungen hinsichtlich Anhang A
(Neue, veränderte und entfallene Controls)
(Attribute – Controls erhalten Eigenschaften)
- Umsetzungsaufwände und -fristen
Von verinice nach Visio und zurück
Eine grafische Strukturanalyse ist nicht nur praktisch, sondern kann auch den im BSI IT-Grundschutz geforderten vereinfachten Netzplan sinnvoll ergänzen. Wie bekommt man die im verinice erfassten Daten in Visio zur Anzeige und ist es möglich gemachte Anpassungen wieder in verinice zu importieren?
Kurzvorstellung: Vorfall-Experte BSI
Die Schulung BSI Vorfall-Experte ist der ideale Einstieg in das Thema Digitale Forensik und Incident Response (DFIR) für alle Verantwortlichen im IT-Sicherheitsbereich.
Integration der Informationssicherheit - Erfahrungen bei der Umsetzung der Anforderung ISMS.1.A9
Wie schafft es der Informationssicherheitsbeauftragte, dass sein Thema in alle Geschäftsprozesse und Fachaufgaben integriert wird? An welcher Stelle muss er sich in Projekte einbringen? Welche Prozesse sind zweckmäßig? Der Vortrag beantwortet diese Fragen mit mehr oder weniger guten Beispielen aus der Praxis.
Jeder Standard ein Tool? Nicht zwingend!
Vielerlei Standards werden in der Zukunft auf Behörden und Unternehmen zukommen, je nach Branche oder gesetzlicher Änderung können diese sehr unterschiedlich sein. Pro Branche gibt es sogar mehrere Standards die nicht untereinander kompatibel sind. Wie kann man dies nun konform abbilden? Ein kurzer Praxisbericht und Lösungsvorschläge mit verinice.
ISO27001:2022/ISO27005:2022: The next Generation of ISMS
Zur Erstellung einer tragfähigen Sicherheitsarchitektur war der ISO 27001 Standard stets eine verlässliche Vorlage, um den Rahmen von Richtlinien, Regeln, Prozesse,
Verfahren, Organisationsstrukturen sowie Software- und Hardwarefunktionen zu setzen. Der Standard beinhaltete schon immer Anforderung der ständigen Verbesserung, dem der ISO-Standard nun selbst folgt. Auf der bewährten Basis wurde nun eine neue Plattform für Risikokontrollmaßnahmen definiert, welche den aktuellen Anforderungen angepasst und von der Struktur effizienter und zielgerichteter wurde. Daran anknüpfend auch die ISO 27005 mit Ihrem Rahmen zur Risikobewertung und Kontrolle. Hier werfe ich mit Ihnen einen Blick auf die Umsetzung in verinice.
Geheimschutz im BSI IT-Grundschutzkompendium: Was ändert sich mit dem neuen Baustein CON.11.1 Geheimschutz?
Der Geheimschutzbaustein CON.11.1 liegt mittlerweile als Final Draft vor und wird im Grundschutzkompendium 2023 enthalten sein. Was bedeutet das für Behörden, die Verschlusssachen mit dem Geheimhaltungsgrad VS – Nur für den Dienstgebrauch (VS – NfD) verarbeiten? Was ist bei der Konzeption und Freigabe von neuer IT zu beachten, die später VS-NfD verarbeiten soll?
Dieser Vortrag gibt Einblick welchen Einfluss der neue Baustein im Kompendium haben kann und welche Wechselwirkungen mit bereits im Kompendium enthaltenen anderen Prozess- und System-Bausteinen bestehen. Schließlich ist der Geheimschutz „nur“ eine Verschärfung des längst etablierten Schutzziels „Vertraulichkeit“. Zusätzlich wird auch kurz auf die Novellierung der Verschlusssachenanweisung Bund eingegangen.
Service für IT, Medizin- und Haustechnik im Gesundheitswesen – Praktischer Einsatz des Open Source ITSM-Systems KIX in Krankenhäusern
IT-Organisationen in Krankenhäusern kümmern sich um immer mehr technisches Equipment, denn in heutigen IT-Landschaften wachsen die klassische IT, die Gebäudeautomation und die Medizingerätetechnik immer stärker zusammen. Eine Plattform für alle Serviceteams zu schaffen, ist deshalb in den meisten IT-Abteilungen das Ziel der Einführung oder Optimierung von IT Service Management. Damit sollen alle Anwender des Krankenhauses (IT, Verwaltung, Stationen, Labore,...) ihre Aufträge für Haustechnik, Medizintechnik, Reinigung, IT usw. an einer zentralen Stelle aufgeben.
Die Serviceabläufe in Bereichen der Kritischen Infrastruktur ITIL-konform zu gestalten, ist ratsam, da ITIL international etabliert und entsprechend anerkannt ist. Ebenso sind damit auch Anforderungen aus den für Krankenhäuser wichtigen Sicherheitsanforderungen aus B3S oder ISO27001 abgedeckt. Um die eigene Entscheidungs- und Gestaltungsfreiheit, auch im Sinne der viel propagierten Digitalen Souveränität Öffentlicher Einrichtungen, zu behalten, gelangen Open Source-Softwarelösungen immer mehr ins Blickfeld. KIX ist eine solche Open Source-Software für ITSM und durch umfassende Workflow-Zertifizierung geeignet für die genannten Einsatzbereiche.
Anhand praktischer Beispiele aus drei Krankenhäusern unterschiedlicher Größe, erläutert der Vortrag das jeweilige Projektvorgehen. Er gibt Einblick, wie themenweise vorgegangen wurde und welche Serviceabläufe aufeinander aufbauend umgesetzt wurden. Dabei greift er auch auf, wie die Einbindung unterschiedlicher Akteure im Krankenhaus erfolgte, die nicht tagtäglich mit IT umgehen. Hierzu zählen bspw. die Haustechniker oder der Reinigungsservice. Aber auch medizinisches Personal, welches regelmäßig in technisches Equipment eingewiesen und darauf geschult werden muss. Neben der Ablaufsteuerung für Serviceaufträge, wird ebenso auf die Handhabung regelmäßig wiederkehrender Aufgaben und Wartungsaufträge anhand eines Wartungskalenders eingegangen. Die technische Integration von KIX in die umgebende IT-Landschaft, in Überwachungssysteme, Server- und Clientmanagement-Lösungen runden den Vortrag ab. Während des Vortrags werden den konkreten praktischen Umsetzungen folgend, wichtige Learnings und Handhabungshinweise gegeben.
Ein Experiment mit Folgen: verinice.veo und ChatGPT
Künstliche Intelligenz hat im Jahr 2023 einen enormen Start hingelegt. Das Sprachmodell ChatGPT hat es geschafft, in nur zwei Monaten beeindruckende 100 Millionen Nutzer anzuziehen. Damit dürfte dieses Jahr das Jahr 0 für die Integration von AI in die tägliche Praxis von Wissensarbeitern werden.
Die Auswirkungen von KI auf das Informationssicherheitsmanagement sind weitreichend und werden in kürzester Zeit sichtbar werden. Die Art und Weise, wie wir Cybersicherheitsrisiken analysieren, Maßnahmen einführen und die Einhaltung von Compliance gewährleisten, wird sich dramatisch verändern.
Der Einsatz von KI-gestützten Tools im Informationssicherheitsmanagement hat das Potenzial, die Effizienz und Effektivität unserer Arbeit erheblich zu verbessern - und zwar soweit, dass bestimmte Tätigkeiten und Beratungsfunktionen nahezu vollständig ersetzt werden.
Vor diesem Hintergrund ist es von entscheidender Bedeutung, dass wir lernen, wie wir KI-Unterstützung effektiv in unsere Arbeitsabläufe integrieren können. Menschliche Erfahrung ist zwar nach wie vor unverzichtbar, aber mit Hilfe von KI-Technologie kann diese Erfahrung nun effizienter genutzt werden. Der Vortrag demonstriert dies am Beispiel einer Integration von ChatGPT in das neue verinice.veo.
Roadmap verinice
Kontakt