Archiv
Programm 2026
Eröffnung & Begrüßung
Grundschutz++ Reförmchen oder Umbruch?
Thomas Lundström (SoftEd) zeigt in diesem Vortrag auf, welche Möglichkeiten der Grundschutz++ bietet und warum ein Umstieg vom Modernisierten IT-Grundschutz nicht nur verpflichtend ist, sondern Chancen zu echtem Risikomanagement bietet.
Von KI-Chaos zu KI-Kontrolle: KI im IT-Grundschutz abbilden
Vom benutzerdefinierten Baustein zum vollständigen Informationssicherheitskonzept mit Schutzbedarfsfeststellung und Risikoanalyse.
KI-Anwendungen entwickeln sich schneller als klassische Security-Frameworks. Der Vortrag von Julia Dreier (neam IT-Services) zeigt, wie sich KI-Sicherheit strukturiert und nachvollziehbar in das bestehende IT-Grundschutz-Regime integrieren lässt. Vorgestellt wird eine bewährte Vorgehensweise, die das SAIL Framework (Secure AI Lifecycle) mit den Anforderungen des EU AI Act und der BSI-IT-Grundschutz-Methodik verbindet. So wird KI-Sicherheit nicht als Sonderthema, sondern als integraler Bestandteil des IT-Grundschutz-Prozesses umgesetzt.
Anhand angepasster Schutzbedarfsfeststellungen und Risikoanalysen nach BSI-Standard 200-3 wird gezeigt, wie KI-spezifische Aspekte berücksichtigt werden können. Ergänzend wird ein benutzerdefinierter KI-Baustein vorgestellt, der sich in verinice und verinice.veo integrieren lässt und eine strukturierte Dokumentation im bestehenden ISMS ermöglicht.
KI oder nicht KI – von Sicherheit, Akzeptanz und ganz Grundsätzlichem
Intelligente Systeme sind aus dem heutigen Alltag kaum noch wegzudenken und bestimmen teilweise bereits unser Leben. Doch was ist eigentlich eine Künstliche Intelligenz? Wie können wir KI sicher betreiben? Marco Reda von der SVA wagt in seinem Vortrag einen Rundumblick fern von Werbeversprechen, KI-Hype und Untergangsängsten und betrachten den Einsatz von KI-Systemen aus Sicht einer Institution mit ISMS.
Mittagspause
Integrierte Managementsysteme - Synergien nutzen
Informationssicherheitsmanagement, Datenschutzmanagement, Qualitätsmanagement, Servicemanagement, Risikomanagement, Business Continuity Management - inzwischen kümmern sich mehr Manager um die IT als IT-Fachleute. Dummerweise halten die Manager immer die gleichen Know-How-Träger vom Arbeiten ab, so dass der IT-Betrieb völlig überlastet wird. Ulf Riechen (Riechen Consulting) zeigt in seinem Vortrag, wie sich durch die Vereinheitlichung von Managementsystemen Aufwände reduzieren lassen, ohne dabei die Erfüllung regulatorischer Anforderungen zu gefährden.
Etablierung eines BCM an einem Universitätsklinikum
Susanne Aust wird darstellen, wie das UKH im Jahr 2022 mit dem Aufbau eines hausweiten Business-Continuity-Managements begonnen hat. Im Fokus standen dabei fünf zentrale Ausfallszenarien sowie die Einbindung aller Einrichtungen, die an der stationären Patientenversorgung beteiligt sind. Ziel des Vorgehens ist es, die Resilienz des Hauses zu stärken und die Patientensicherheit auch in Krisensituationen sicherzustellen.
Kaffeepause
Informationssicherheit für den Drohneneinsatz in Behörden und Organisationen mit Sicherheitsaufgaben – Vorstellung des IT-Grundschutz-Profils in verinice
Der Einsatz von Drohnen durch Behörden und Organisationen mit Sicherheitsaufgaben stellt hohe Anforderungen an die Informationssicherheit. Um die Erfüllung dieser Anforderungen zu unterstützen, haben die Autoren der Competence Group IT Safety & Security des UAV DACH e.V., einem europäischen Fachverband für die unbemannte Luftfahrt, ein IT-Grundschutz-Profil erarbeitet. Nach Prüfung und Freigabe durch das Bundesamt für Sicherheit in der Informationstechnik steht es nun zur Nachnutzung bereit. Um die Ableitung von Sicherheitskonzepten zu erleichtern, wurde das Profil gemeinsam mit der SerNet in das ISMS verinice integriert.
Der Vortrag von Gunnar Korte (UAV DACH e.V.) und Yasmine Khemiri (SerNet) stellt das IT-Grundschutz-Profil sowie die Adaption in verinice vor und informiert über die weiteren Vorhaben des UAV DACH e.V. im Bereich der Informationssicherheit.
Abomodell von verinice.cloud und on-prem
Der Vortrag beschreibt das Abomodell und die Preise für verinice.cloud und verinice.onprem.
Nachdem die verinice.cloud schon seit Mitte 2024 verfügbar ist, wird zur verinice.XP 2026 auch verinice.onprem zum Verkauf frei gegeben. Die Software kann als Kubernetes-basierte Software in jeder Kubernetes-Umgebung ausgerollt werden oder wie schon zuvor bei verinice.PRO in einer Virtualisierungsumgebung mit Proxmox, Hyper-V oder VMWare - dann mit Hilfe der Kubernetes-Laufzeitumgebung Talos-Linux.
Blick in die BSI-Community – Stand Methodik GS++
Dieser Vortrag von Daniel Künkel (secuvera) und Robert Beck (HiSolution) bietet einen kompakten Überblick über die aktuellen Entwicklungen rund um die Weiterentwicklung des IT-Grundschutzes. Er zeigt, welche Themen in der Community derzeit an Bedeutung gewinnen und welche Impulse sich für die künftige Ausgestaltung der Methodik abzeichnen. Ohne dem Ergebnis der laufenden Arbeiten vorzugreifen, geben wir erste Eindrücke zu möglichen methodischen Schwerpunkten und diskutieren, wie sich die Zusammenarbeit in der Community gestaltet. Der Beitrag richtet sich an alle, die den Transformationsprozess des Grundschutzes verfolgen und die Weiterentwicklung aktiv mitdenken möchten.
Eigene Bausteine in verinice.veo: Vorgehen, Anforderungen und Praxisbeispiel am VS-NfD-Merkblatt
Innerhalb eines Informationssicherheits-managementsystems (ISMS) sind nicht nur die Anforderungen und Vorgaben der zugrunde liegenden Standards entscheidend für die Sicherheit und Compliance einer Institution. Für eine wirksame Umsetzung müssen ebenso Aspekte aus Verträgen, rechtlichen Rahmenbedingungen und kulturellen Gegebenheiten berücksichtigt werden. In der Praxis stellt gerade die systematische Berücksichtigung solcher kontextuellen Anforderungen eine zentrale Herausforderung für den Betrieb eines ISMS dar. Nur durch eine ganzheitliche Betrachtung lassen sich das erforderliche Sicherheitsniveau sowie die Compliance mithilfe eines ISMS steuern und nachhaltig gewährleisten.
Am Beispiel des VS-NfD-Merkblatts (GHB Anl. 4) zeigt Dominic Schneeweis (de-bit Computer-Service) in seinem Vortrag, wie Nutzerinnen und Nutzer Anforderungen aus ihrem individuellen Umfeld mit einfachen Mitteln und gängigen Werkzeugen effizient in das ISMS-Tool verinice.veo integrieren können.
Kaffeepause
Umsetzung der Reife- und Umsetzungsgrade für die Nachweisprüfung (RUN) in verinice.PRO
In seinem Vortrag widmet sich Dirk Brand (iseco Consulting) der praxisnahen Anwendung der BSI-Reife- und Umsetzungsgradbewertung (RUN) in einem KRITIS-Unternehmen. Im Mittelpunkt steht, wie das Informationssicherheitsmanagementsystem (ISMS) mithilfe von verinice strukturiert aufgebaut, dokumentiert und auf Basis der harmonisierten RUN-Kriterien bewertet wurde.
Anhand realer Strukturen – einschließlich KRITIS-Anlagen, Office-IT und Sicherheitsrahmenkonzept – wird veranschaulicht, wie Managementsystem-Reifegrade und Maßnahmen-Umsetzungsgrade transparent erhoben und systematisch in den kontinuierlichen Verbesserungsprozess integriert werden.
Der Vortrag vermittelt einen kompakten Überblick über Vorgehen, Herausforderungen und den konkreten Mehrwert der Abbildung der RUN-Anforderungen mit verinice.
Ein CE-Logo für verinice: Umsetzung des Cyber Resilience Act
SerNet arbeitet seit Anfang 2025 daran, für die Anwendung verinice pünktlich zum Dezember 2027 eine Konformitätserklärung nach den Anforderungen des CRA ausstellen zu können. Johannes Loxen geht im Vortrag auch auf die Anforderungen der NIS2 für die verinice.cloud ein und auf die Konsequenzen von DORA für das beste ISMS-Tool.
Mittagspause
Der Umstieg von verinice.PRO zu verinice.onprem
Der Umstieg von verinice.PRO zu verinice.onprem will geplant sein. Oliver Seufer (Geschäftsführer der SerNet) gibt einen Überblick über die Systemanforderungen und technischen Aspekte. Michael Flürenbrock (verinice Product Owner) skizziert die wichtigste Aspekte im Hinblick auf die Übernahme von Bestandsdaten.
verinice Roadmap
Rückblick verinice.XP 2025
Begrüßung
Keynote Fortentwicklung des IT-Grundschutzes zu IT-Grundschutz++
Praxisnah und flexibel. Schon 1994 war dies der Grundgedanke für die IT-Sicherheitsempfehlungen, als die erste Ausgabe des IT-Grundschutzhandbuches herauskam. Drei Jahrzehnte später hat sich nicht nur die Welt um den IT-Grundschutz geändert, sondern auch der IT-Grundschutz selbst. Er wurde mehrfach vollständig überarbeitet, so dass er jederzeit als Werkzeug genutzt werden kann, um Informationssicherheit in Institutionen zu schaffen und aufrechtzuhalten.
Auch zum derzeitigen Zeitpunkt wird der IT-Grundschutz agil unter dem Stichwort "IT-Grundschutz++" mit den Zielen weiterentwickelt, den Umfang und die bei der Umsetzung entstehenden Dokumentationsaufwände auf das notwendige Mindestmaß zu reduzieren, eine Priorisierung der Anforderungen vorzunehmen, Leistungskennzahlen aus den erfüllten Anforderungen zu errechnen sowie die Anwendung von Automatisierungstools weitestgehend zu ermöglichen.
Die Keynote wird die Vision von IT-Grundschutz++ zeigen sowie über den aktuellen Stand der agilen Weiterentwicklung informieren und einen Ausblick geben, was den zukünftigen IT-Grundschutz auszeichnen wird.
Prototyp IT-Grundschutz++ in verinice.veo
Maschinenlesbar, automatisierbar und agil soll der neue IT-Grundschutz++ werden. Das verinice.Team stellt einen ersten Prototypen in der neuen Produktgeneration verinice.veo vor und erläutert die grundlegenden Konzepte der Neuerungen.
Richtlinien sind gefüllte Lückentexte
Wie sich die Erstellung von Richtlinien (teil-) automatisieren lässt.
Für unsere Organisationen brauchen wir Bündel von Richtlinien. Allein für die ISO 27001 ca. 30 und für den aktuellen Grundschutz über 50. Dazu kommen dann noch Arbeitsschutz, Qualitätsmanagement und eine Vielzahl von Compliance-Themen. Die Erstellung und Pflege dieser Vorgaben binden mehr Ressourcen als eigentlich für die Aufgabe verfügbar.
Wie kann aus zentralen Vorgaben, in verinice.veo bereits erfassten Daten und einer Prise KI dieser Prozess beschleunigt und automatisiert werden?
Vorteile einer offenen API: Workflow Anbindung für verinice.veo
Ein entscheidender Vorteil von verinice.veo liegt in der offenen API, die eine nahtlose Integration mit verschiedenen Third-Party-Tools und Plattformen ermöglicht. Dieser Vortrag demonstriert die Integration mit der leistungsstarken Open Source Workflow-Engine "Windmill" und hebt deren Mehrwert für Informationssicherheitsbeauftragte und Datenschützer hervor.
Wir demonstrieren, wie Workflows gezielt eingesetzt werden, um zentrale Aufgaben zu automatisieren, wie etwa die Umsetzung und Prüfung von Controls, das Erfassen und Verwalten von Assets sowie die effiziente Bearbeitung von Sicherheitsvorfällen. Die Teilnehmer erhalten praxisnahe Einblicke wie wiederkehrende Tätigkeiten durch Automatisierung optimiert werden können, um die Effektivität und Effizienz ihres ISMS/DSMS zu steigern.
Umsetzung des B3S Krankenhaus im Sächsischen Krankenhaus Rodewisch - Ein Projekterfahrungsbericht
Krankenhäuser sind nach SGB V § 391 verpflichtet, nach dem Stand der Technik angemessene Vorsorge zu treffen, um Ausfälle oder eine Beeinträchtigung des Krankenhausbetriebs zu vermeiden. Diese Verpflichtung kann durch Anwendung des Branchenspezifischen Sicherheitsstandards (B3S) erfüllt werden. Außerdem verpflichtet das Sächsische Informationssicherheitsgesetz das Sächsische Krankenhaus Rodewisch als staatliche Einrichtung zur Anwendung des BSI Grundschutzes.
Unter diesen Gesichtspunkten wurde im Rahmen des Krankenhauszukunftsgesetzes (KHZG) ein Projekt gestartet, um ein B3S- und BSI-Grundschutz konformes ISMS aufzubauen und zu etablieren. Dabei konnte auf die seit Jahren im Einsatz befindliche Open-Source-Lösung KIX als CMDB aufgesetzt werden. Für die ISMS-Dokumentation sollte mit verinice ebenfalls eine Open-Source-Lösung zum Einsatz kommen. Durch die Kopplung von CMDB und ISMS über eine Schnittstelle werden Synergien genutzt.
Der Vortrag behandelt die Herangehensweise, die Projektumsetzung und die Gestaltung der Schnittstelle zwischen ISMS und CMDB. Dabei werden insbesondere die Zuordnung von Grundschutz-Zielobjekten in verinice zu Configuration Items in der KIX-CMDB, die Einbindung von Medizin- und Versorgungstechnik sowie die Workflows zur Bearbeitung von Grundschutz-Anforderungen als Ticket und die Einbindung des externen ISB vorgestellt.
Mapping von IT-Grundschutz und NIS2 in verinice für die öffentliche Verwaltung
Die Informationssicherheit steht durch die Anforderungen der NIS2-Richtlinie vor Herausforderungen. Eine Betroffenheit der öffentlichen Verwaltung wird zunehmend diskutiert. Bei einem vorhandenen Informationssicherheitskonzept nach IT-Grundschutz lassen sich die Anforderungen der NIS2-Richtlinie mit überschaubarem Aufwand umsetzen. Wir geben Ihnen in unserem Vortrag einen Ausblick zur praktischen Umsetzung in verinice.
NIS2: Von der gesetzlichen Anforderung in die praktische Umsetzung
Die NIS-2-Richtline soll in Deutschland durch das NIS2UmsuCG umgesetzt werden. Dieses neue Gesetz stellt mannigfaltige Anforderungen an die Unternehmen, die davon betroffen sind. Welche Anforderungen dies konkret sind und wie diese in der Praxis mit Hilfe von verinice im Unternehmen umzusetzen können, soll der Vortrag veranschaulichen.
Einführung von verinice in eine große Organisation - ein Projekterfahrungsbericht
Die Einführung eines neuen ISMS-Tools ist eine anspruchsvolle Aufgabe, die viele Herausforderungen mit sich bringt. In diesem Vortrag teilen wir unsere Erfahrungen aus einem umfangreichen Projekt, bei dem eine große Organisation diesen Schritt gewagt hat. Wir berichten über die Hürden, die wir überwinden mussten, und die Erkenntnisse, die wir dabei gewonnen haben. Ziel des Vortrags ist es, einen realistischen Einblick in einen Wechsel des ISMS-Tools zu geben und andere Organisationen von unseren Erfahrungen profitieren zu lassen.
ISO 27032 - Noch ein Managementsystem. Einordnung & Relevanz
ISO 27032 ist eine vergleichsweise neue Norm, die speziell auf die Herausforderungen der Cybersicherheit abzielt und sich durch einen praxisorientierten Ansatz auszeichnet. Der Standard versteht sich als Ergänzung zu bestehenden Frameworks wie der ISO 27001 und adressiert insbesondere die Zusammenarbeit zwischen verschiedenen Stakeholdern, um Bedrohungen effektiv zu begegnen. Dieser Vortrag ordnet die ISO 27032 im Kontext bestehender Sicherheitsstandards ein, beleuchtet die zentralen Inhalte der Norm und zeigt deren Potenzial zur Verbesserung der Cybersicherheitslandschaft auf.
Gleichzeitig wird kritisch hinterfragt, ob die ISO 27032 tatsächlich einen notwendigen Mehrwert bietet oder lediglich ein weiteres Element in der ohnehin komplexen Landschaft der Managementsysteme und Standards darstellt. Anhand praxisnaher Beispiele werden mögliche Redundanzen mit anderen Standards analysiert und die sinnvolle Integration in Unternehmen zur Optimierung der Sicherheitsstrategien entworfen.
Grafischer Netzstrukturplan aus der verinice-Strukturanalyse
Der BSI-Standard 200-2 geht bei der Strukturanalyse von einem "bereinigten Netzplan" aus. Auch KRITIS-Betreiber müssen nach GAIN einen Netzstrukturplan vorlegen, der die “Anlage” passend abstrahiert und verständlich beschreibt. Ein solcher Netzplan ist aber schwer zu bekommen. Die Netzwerker haben nur eine "Tapete" mit allen Switches – Server- und Client-Admins schicken einen wieder zu den Netzwerkern. Also ist selbst zeichnen angesagt… oder? Die im Netzplan darzustellenden Assets/Zielobjekte sind eigentlich schon verinice erfasst. Wenn die Verknüpfungen zweckmäßig angelegt sind, kann durch deren Export ein Graph automatisiert erstellt werden – und man spart sich das Zeichnen.
Visualisierung von Verknüpfungen in verinice.veo
Die offene API von verinice.veo ermöglicht eine umfassende grafische Visualisierung aller Verknüpfungen in Ihrem Informationssicherheitsmanagement. Risiken können beispielsweise mit Szenarien, Assets, Prozessen oder Informationsverbünden verknüpft und dargestellt werden. Ebenso lassen sich ein- und ausgehende Links zwischen Informationsverbünden übersichtlich abbilden. Der Vortrag behandelt diese flexible Visualisierung, die für alle Arten von Verknüpfungen gelten und einen klaren Überblick über Zusammenhänge und Abhängigkeiten bieten – eine wertvolle Unterstützung für effektives Risikomanagement und Entscheidungsprozesse.
verinice Roadmap
Rückblick verinice.XP 2024
Begrüßung
Keynote: NIS2 und KRITIS-Dachgesetz – was kommt auf Unternehmen und Behörden zu?
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz wird die Regulierung Kritischer Infrastrukturen in Deutschland umfassend erweitert. Ab 2024 fallen neben KRITIS-Betreibern viele Unternehmen, Betriebe und auch Behörden unter neue Cybersecurity-Regulierung. Die mannigfaltigen Anforderungen für IT-Sicherheit und Resilienz fordern von betroffenen Organisationen ein robustes Management, nachhaltige Strukturen und Prozesse im ISMS und BCMS. Wir zeigen die wichtigsten Neuerungen und Anforderungen an Unternehmen und Behörden aus der NIS2-Umsetzung und KRITIS-Dachgesetz.
Das Standard-Datenschutzmodell 3.0 und verinice
Mit dem Standard-Datenschutzmodell (SDM) wird ein Werkzeug bereitgestellt, mit dem die Auswahl und die kontinuierliche Evaluation technischer und organisatorischer Maßnahmen unterstützt wird, die sicherstellen und den Nachweis dafür erbringen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DS-GVO erfolgt. Die Abbildung des SDM in verinice ermöglicht die praktische Anwendung des SDM.
Kritis Abwasser: Umsetzung mit verinice
In diesem Vortrag wird ein Einblick in ein verinice ISMS-Projekt mit dem Fokus des B3S Abwasser gegeben.
Inhaltlich werden die konkreten Anforderungen an das ISMS beleuchtet und ebenso ein Einblick in die erfolgte Umsetzung mit verinice gegeben, wie z.B die erfolgte Aufteilung der IT-Verbünde und die Implementation der Anforderungen des B3S.
WiBA – Ihr toolbasierter Weg in die Basis-Absicherung
Das BSI hat das Konzept "Weg in die Basis-Absicherung" (WiBA) entwickelt, um Kommunen systematisch bei der Implementierung von Informationssicherheitsmaßnahmen zu unterstützen und die Risiken von Cybervorfällen zu minimieren.
In diesem Vortrag wird das WiBA-Konzept vorgestellt und mithilfe von verinice umgesetzt.
Sehr hübsch 2.0 – Erwartungen an verinice.veo
Die DEVK setzt seit einigen Jahren auf verinice.PRO als Tool für das Informationssicherheitsmanagement. Neben einer kurzen eigenen Vorstellung, wird im Rahmen dieses Anwendervortrags das aktuelle Setup beleuchtet und daraus ableitend die Erwartungen an das "verinice der zweiten Generation" auf Basis der neuen Technologieplattform verinice.veo formuliert.
Der IT-Grundschutz im neuen "verinice ISMS"
Das verinice-Team stellt den aktuellen Entwicklungsstand des IT-Grundschutz in der neuen webbasierten verinice-Generation vor. Neben grundsätzlichen Funktionalitäten werden insbesondere auch Neuerungen und Verbesserungen gegenüber dem bisherigen verinice dargestellt.
Mit Open Source und offener API – ein Dashboard für verinice.veo
verinice.veo ist ein Open-Source-Tool mit einer offenen API, das seinerseits auf Open-Source-Technologien wie PostgreSQL, Spring-Boot und VUE aufsetzt. Diese Architektur unterstützt eine nahtlose Integration mit einer breiten Palette von Open-Source-Software.
Dieser Vortrag demonstriert die Einbindung des AGPL-Projekts Metabase für die Erstellung interaktiver Dashboards unter Verwendung von veo-Daten. Durch eine Live-Demonstration werden die Teilnehmer die Vorteile und Möglichkeiten der Integration von verinice.veo mit 3rd-Party-Tools über die offene API nachvollziehen können.
Roadmap verinice
Rückblick verinice.XP 2023
Begrüßung
Keynote: Aktuelles zur IT-Sicherheitslage
Wie erkläre ich das dem Chef? - Informationssicherheits-Risiken identifizieren und berichten
Die Grundschutz-Methodik erfordert viel Fleißarbeit: Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Grundschutz-Check.... bis zur Risikoanalyse haben es noch nicht viele geschafft. Doch ohne Kommunikation von Risiken kann das Management keine Entscheidungen zur Verbesserung der Sicherheit treffen.
Im Vortrag wird gezeigt, wie durch eine zweckmäßige Risikomatrix und Konzentration auf wesentliche Zielobjekte Risiken identifiziert und per Report-Abfrage zu für das Management verständlichen Excel-Diagrammen aufbereitet werden.
verinice DSMS
Sirin Torun stellt den verinice Datenschutzmanager auf der neuen Plattform verinice.veo vor.
Die neue ISO 27001 – Was kommt auf uns zu?
Im Oktober 2022 wurde eine Neufassung der ISO 27001 veröffentlicht. Anwendende stehen vor der Herausforderung ihr etabliertes ISMS auf die neue Norm hin anzupassen. In der Praxis erleben wir, dass die Neuerungen der Norm aktuell noch viele Fragen aufwerfen.
Im Vortrag sollen daher überblicksartig die Unterschiede zwischen der neuen und bisherigen ISO 27001 aufgezeigt werden. Darauf aufbauend werden Optionen aufgezeigt, wie Potentiale in der neuen Norm erkannt und erschlossen werden können. Insbesondere widmen wird uns den veränderten Controls (Referenzmaßnahmen) aus Anhang A. Es werden Möglichkeiten aufgezeigt, wie notwendige Änderungen zielgerichtet initiiert und angemessen umgesetzt werden können. Abschließend sollen in einem Fazit mögliche Vor- und Nachteile nochmal zusammengefasst werden.
Wesentliche Schwerpunkte des Vortrages sind:
- Veränderungen hinsichtlich des Managements
- Veränderungen hinsichtlich Anhang A
(Neue, veränderte und entfallene Controls)
(Attribute – Controls erhalten Eigenschaften)
- Umsetzungsaufwände und -fristen
Von verinice nach Visio und zurück
Eine grafische Strukturanalyse ist nicht nur praktisch, sondern kann auch den im BSI IT-Grundschutz geforderten vereinfachten Netzplan sinnvoll ergänzen. Wie bekommt man die im verinice erfassten Daten in Visio zur Anzeige und ist es möglich gemachte Anpassungen wieder in verinice zu importieren?
Kurzvorstellung: Vorfall-Experte BSI
Die Schulung BSI Vorfall-Experte ist der ideale Einstieg in das Thema Digitale Forensik und Incident Response (DFIR) für alle Verantwortlichen im IT-Sicherheitsbereich.
Integration der Informationssicherheit - Erfahrungen bei der Umsetzung der Anforderung ISMS.1.A9
Wie schafft es der Informationssicherheitsbeauftragte, dass sein Thema in alle Geschäftsprozesse und Fachaufgaben integriert wird? An welcher Stelle muss er sich in Projekte einbringen? Welche Prozesse sind zweckmäßig? Der Vortrag beantwortet diese Fragen mit mehr oder weniger guten Beispielen aus der Praxis.
Jeder Standard ein Tool? Nicht zwingend!
Vielerlei Standards werden in der Zukunft auf Behörden und Unternehmen zukommen, je nach Branche oder gesetzlicher Änderung können diese sehr unterschiedlich sein. Pro Branche gibt es sogar mehrere Standards die nicht untereinander kompatibel sind. Wie kann man dies nun konform abbilden? Ein kurzer Praxisbericht und Lösungsvorschläge mit verinice.
ISO27001:2022/ISO27005:2022: The next Generation of ISMS
Zur Erstellung einer tragfähigen Sicherheitsarchitektur war der ISO 27001 Standard stets eine verlässliche Vorlage, um den Rahmen von Richtlinien, Regeln, Prozesse,
Verfahren, Organisationsstrukturen sowie Software- und Hardwarefunktionen zu setzen. Der Standard beinhaltete schon immer Anforderung der ständigen Verbesserung, dem der ISO-Standard nun selbst folgt. Auf der bewährten Basis wurde nun eine neue Plattform für Risikokontrollmaßnahmen definiert, welche den aktuellen Anforderungen angepasst und von der Struktur effizienter und zielgerichteter wurde. Daran anknüpfend auch die ISO 27005 mit Ihrem Rahmen zur Risikobewertung und Kontrolle. Hier werfe ich mit Ihnen einen Blick auf die Umsetzung in verinice.
Geheimschutz im BSI IT-Grundschutzkompendium: Was ändert sich mit dem neuen Baustein CON.11.1 Geheimschutz?
Der Geheimschutzbaustein CON.11.1 liegt mittlerweile als Final Draft vor und wird im Grundschutzkompendium 2023 enthalten sein. Was bedeutet das für Behörden, die Verschlusssachen mit dem Geheimhaltungsgrad VS – Nur für den Dienstgebrauch (VS – NfD) verarbeiten? Was ist bei der Konzeption und Freigabe von neuer IT zu beachten, die später VS-NfD verarbeiten soll?
Dieser Vortrag gibt Einblick welchen Einfluss der neue Baustein im Kompendium haben kann und welche Wechselwirkungen mit bereits im Kompendium enthaltenen anderen Prozess- und System-Bausteinen bestehen. Schließlich ist der Geheimschutz „nur“ eine Verschärfung des längst etablierten Schutzziels „Vertraulichkeit“. Zusätzlich wird auch kurz auf die Novellierung der Verschlusssachenanweisung Bund eingegangen.
Service für IT, Medizin- und Haustechnik im Gesundheitswesen – Praktischer Einsatz des Open Source ITSM-Systems KIX in Krankenhäusern
IT-Organisationen in Krankenhäusern kümmern sich um immer mehr technisches Equipment, denn in heutigen IT-Landschaften wachsen die klassische IT, die Gebäudeautomation und die Medizingerätetechnik immer stärker zusammen. Eine Plattform für alle Serviceteams zu schaffen, ist deshalb in den meisten IT-Abteilungen das Ziel der Einführung oder Optimierung von IT Service Management. Damit sollen alle Anwender des Krankenhauses (IT, Verwaltung, Stationen, Labore,...) ihre Aufträge für Haustechnik, Medizintechnik, Reinigung, IT usw. an einer zentralen Stelle aufgeben.
Die Serviceabläufe in Bereichen der Kritischen Infrastruktur ITIL-konform zu gestalten, ist ratsam, da ITIL international etabliert und entsprechend anerkannt ist. Ebenso sind damit auch Anforderungen aus den für Krankenhäuser wichtigen Sicherheitsanforderungen aus B3S oder ISO27001 abgedeckt. Um die eigene Entscheidungs- und Gestaltungsfreiheit, auch im Sinne der viel propagierten Digitalen Souveränität Öffentlicher Einrichtungen, zu behalten, gelangen Open Source-Softwarelösungen immer mehr ins Blickfeld. KIX ist eine solche Open Source-Software für ITSM und durch umfassende Workflow-Zertifizierung geeignet für die genannten Einsatzbereiche.
Anhand praktischer Beispiele aus drei Krankenhäusern unterschiedlicher Größe, erläutert der Vortrag das jeweilige Projektvorgehen. Er gibt Einblick, wie themenweise vorgegangen wurde und welche Serviceabläufe aufeinander aufbauend umgesetzt wurden. Dabei greift er auch auf, wie die Einbindung unterschiedlicher Akteure im Krankenhaus erfolgte, die nicht tagtäglich mit IT umgehen. Hierzu zählen bspw. die Haustechniker oder der Reinigungsservice. Aber auch medizinisches Personal, welches regelmäßig in technisches Equipment eingewiesen und darauf geschult werden muss. Neben der Ablaufsteuerung für Serviceaufträge, wird ebenso auf die Handhabung regelmäßig wiederkehrender Aufgaben und Wartungsaufträge anhand eines Wartungskalenders eingegangen. Die technische Integration von KIX in die umgebende IT-Landschaft, in Überwachungssysteme, Server- und Clientmanagement-Lösungen runden den Vortrag ab. Während des Vortrags werden den konkreten praktischen Umsetzungen folgend, wichtige Learnings und Handhabungshinweise gegeben.
Ein Experiment mit Folgen: verinice.veo und ChatGPT
Künstliche Intelligenz hat im Jahr 2023 einen enormen Start hingelegt. Das Sprachmodell ChatGPT hat es geschafft, in nur zwei Monaten beeindruckende 100 Millionen Nutzer anzuziehen. Damit dürfte dieses Jahr das Jahr 0 für die Integration von AI in die tägliche Praxis von Wissensarbeitern werden.
Die Auswirkungen von KI auf das Informationssicherheitsmanagement sind weitreichend und werden in kürzester Zeit sichtbar werden. Die Art und Weise, wie wir Cybersicherheitsrisiken analysieren, Maßnahmen einführen und die Einhaltung von Compliance gewährleisten, wird sich dramatisch verändern.
Der Einsatz von KI-gestützten Tools im Informationssicherheitsmanagement hat das Potenzial, die Effizienz und Effektivität unserer Arbeit erheblich zu verbessern - und zwar soweit, dass bestimmte Tätigkeiten und Beratungsfunktionen nahezu vollständig ersetzt werden.
Vor diesem Hintergrund ist es von entscheidender Bedeutung, dass wir lernen, wie wir KI-Unterstützung effektiv in unsere Arbeitsabläufe integrieren können. Menschliche Erfahrung ist zwar nach wie vor unverzichtbar, aber mit Hilfe von KI-Technologie kann diese Erfahrung nun effizienter genutzt werden. Der Vortrag demonstriert dies am Beispiel einer Integration von ChatGPT in das neue verinice.veo.
Roadmap verinice
Kontakt