verinice

Datei:V 128.tif
BSI-Perspektive
ISO-Perspektive
Basisdaten

Entwickler SerNet GmbH
Erscheinungsjahr 2009
Aktuelle Version 1.9
(Vorlage:Release date)
Betriebssystem Windows, Linux, Mac OS X
Programmier­sprache Java
Kategorie ISMS,IT-Sicherheit
Lizenz GPLv3
deutschsprachig ja
verinice-Website

Verinice ist eine Open-Source-Software, die das Management von Informationssicherheit (ISMS) unterstützt und einen Überblick über die Erfüllung von Standards, Gesetzen und Regularien verschafft. Verinice kommt auch bei Selbstbewertungen der Informationssicherheit (Information Self Assessments) oder bei Informationssicherheit-Audits[1] zum Einsatz. Die IT-Grundschutz-Kataloge des BSI sowie der Fragenkatalog "Information Security Assessment"[2] des VDA[3] sind integriert.

Die Software wird unter der GNU General Public License (GPL) Version 3 kostenfrei bereit gestellt. Als Sprachen stehen Deutsch und Englisch zur Auswahl.

Verinice wird von der SerNet GmbH entwickelt. Diese ist auch Anbieter einer kostenpflichtigen Server-Erweiterung namens verinice.PRO[4], die den Verinice-Client um einen Applikations-Server und zusätzliche Funktionen (u.a. zentrales Repository, Mehrbenutzerfähigkeit, Webfrontend, Fernzugriff, Berechtigungskonzept, Mandantenfähigkeit und Benutzerprofile) erweitert.[5]

Anwender

Bearbeiten

Verinice kommt in zahlreichen Bundesbehörden zum Einsatz. Dort gewinnt es seit Erscheinen der Server-Erweiterung vermehrt an Bedeutung, ebenso in Konzernen, Rechenzentren von Bundesländern, Kommunen und Stiftungen des öffentlichen Rechts. Besondere Verbreitung findet das ISMS-Tool außerdem unter Beratern, Wirtschaftsprüfern und KMUs. Verinice wird von Informationssicherheitsbeauftragten, Datenschutzbeauftragten, Administratoren, internen und externen Revisoren, ISO 27001-Auditoren, IT-Grundschschutz-Auditoren, Prozessverantwortlichen oder Geschäftsführern eingesetzt.

Durch die Zusammenarbeit mit dem VDA ist Verinice verstärkt in Automobilkonzernen, bei deren Dienstleistern und Zulieferern im Einsatz.[6]

Leistungsmerkmale

Bearbeiten

Unterstützte Standards

Bearbeiten

Verinice unterstützt sowohl den IT-Grundschutz des BSI als auch internationale Standards wie ISO/IEC 27001 / 27002 sowie die Risikoanalyse nach BSI 100-3 oder ISO 27005.

Eigene Kataloge können importiert und Arbeitsvorgaben angelegt werden. So können auch nicht im Grundumfang vorgesehene Sicherheitsregime oder Verwendungszwecke berücksichtigt werden. Zum Beispiel lassen sich Richtlinien für die Social-Media-Nutzung definieren und deren Umsetzung überwachen.[8]

Technische Details

Bearbeiten

Verinice ist eine Java-Anwendung und als solche verfügbar für Windows (ab Windows XP und neuer), Mac OS X, Linux (openSuSE, Ubuntu, RHEL, CentOS und weitere (ungetestet)).

Die grafische Oberfläche ist mit der Rich Client Platform (RCP) umgesetzt. Dieses Sytem ist plattformunabhänig und nutzt die nativen GUI-Elemente des Betriebssystems. Durch den Einsatz des OR-Mappers Hibernate kann Verinice unterschiedliche Datenbank-Systeme anbinden. Offiziell unterstützt werden: PostgreSQL / Apache Derby / Oracle DBMS. Weiterer Bestandteil ist das HitroUI-Framework. In einer einfachen XML-Datei sind alle Felder und Feldtypen definiert. Die vom Anwender definierten Felder werden automatisch in die Datenbank übernommen: Zusätzliche Daten können erfasst, nicht benötigte Felder aus den Standardformularen entfernt werden.

Versionsgeschichte

Bearbeiten

Eine erste Version von Verinice erschien im Januar 2008.[9] Auf der Cebit 2009 wurde diese mit dem Innovationspreis-IT der Initiative Mittelstand in der Kategorie Open Source ausgezeichnet. [10]

Version 1.7.0 liegt seit Mai 2014 vor.[11]

Version Erscheinungsdatum Neuerung
Verinice 1.0 23.09.2009
Verinice 1.1 23.05.2010
Verinice 1.2 16.11.2010
Verinice 1.3 14.04.2011
Verinice 1.4 21.10.2011
Verinice 1.5 25.01.2012
Verinice 1.6 16.11.2012
Verinice 1.6.1 18.01.2013
Verinice 1.6.2 28.05.2013 Schnittstelle zur Schwachstellen-Verfolgung mit Greenbone Security Manager/OpenVAS
Verinice 1.6.3 19.09.2013 Unterstützung von Java 8
Verinice 1.7.0 09.05.2014 vereinfachte Handhabung, schnellere Risikoanalyse und -behebung, neue Berichtsvorlagen, Unterstützung von ISO 27001:2013 und IT-Grundschutz 13. Ergänzungslieferung, Unterstützung des Meldeverfahrens für Sicherheitsvorfälle nach BSI-Gesetz
Verinice 1.8 01.08.2014 Untersützung generischer Workflows,
Verinice 1.9 21.11.2014 Unterstützung der Version 2.0 des IS-Assessment-Katalogs des Verbands der Automobilindustrie (VDA), zentrale Ablage von Berichtsvorlagen auf dem Verinice.PRO-Server, einfachere Benutzer- und Rechteverwaltung


Verinice besitzt zur Zeit keine Compliance-Funktionen um verschiedene Standards gegeneinander abzubilden. Das ISMS-Tool konzentriert sich außerdem auf den IT-Grundschutz sowie ISO 21700x. COBIT ist nicht implementiert. Durch die Open-Source-Ausrichtung und die Möglichkeit, eigene Kataloge anzulegen, können Nutzer die Entwicklung bei Bedarf selbst in die Hand nehmen oder bei einem Drittanbieter in Auftrag geben.

Andere Tools

Bearbeiten

Verinice ist eine Alternative zum GSTOOL, dem offiziellen Werkzeug des BSI für den IT-Grundschutz. Daneben existiert eine Vielzahl von Werkzeugen, die sich ebenfalls mit dem IT-Grundschutz, ISO 27001 oder weiteren Standards befassen:

Verinice hat einen Lizenzvertrag zur Verarbeitung von Daten der IT-Grundschutz-Kataloge mit dem BSI geschlossen[12] und wird von diesem als fähig zur Umsetzung der BSI-Standards eingestuft.[13] Verinice wird außerdem neben dem GSTOOL und weiteren Werkzeugen vom BSI zur allgemeinen Unterstützung des Grundschutzprozesses in den Bereichen Struktur- und Risikoanalyse sowie Maßnahmen-Umsetzung empfohlen.[14]

Nach Einstellung der Entwicklung des GSTOOL 5[15] gilt Verinice dadurch als eine der Nachfolgealternativen zum BSI-eigenen Werkzeug.

Ein GSTOOL-Import ermöglicht die Übernahme von Daten in Verinice.[16]

Literatur

Bearbeiten
  • Ronny Frankenstein: Basiswerkzeug: Open-Source-Sicherheitsmanagement mit verinice In: iX 2/2011, S. 58f.[17]
  • Alexander Koderman: Verinice. Open Source Tool für Datenschutz und IS-Management. In: Datenschutz und Datensicherheit, März 2009, Band 33, Nr. 3, S. 150-154
  • Alexander Koderman: Grundschutz mit Open Source In: Linux Technical Review, 2008, Ausgabe 10, S. 2-8
  • N.N.: Nettes Werkzeug managt Informationssicherheit. In: Sicherheits-Berater, 2013, Ausgabe 17, S. 258f.
  • Nils Magnus: Sicherheitsverwalter. Verinice - freies ISMS-Tool für Audits nach ISO 27001. In: Linux Magazin 03/08[18]
Bearbeiten

Einzelnachweise

Bearbeiten
  1. Nils Magnus: Verinice - freies ISMS-Tool für Audits nach ISO 27001. In: Linux Magazin. Abgerufen am 21. Mai 2014.
  2. Informationsschutz und Risk Management: Informationsschutz-Sicherheitsanforderungen in der Automobilindustrie. 14. Februar 2011, abgerufen am 22. Mai 2014.
  3. Mathias Huber: Verinice 1.2 mit Features für Automobilindustrie. 20. Dezember 2010, abgerufen am 23. Mai 2014.
  4. Mathias Huber: Verinice Pro: Grundschutztool in Enterprise-Version. In: Linux Magazin (Online). 16. Februar 2010, abgerufen am 22. Mai 2014.
  5. Übersicht der Verinice-Merkmale. Abgerufen am 21. Mai 2014.
  6. VDA: Das ISA-Tool verinice. Abgerufen am 21. Mai 2014.
  7. Allgemeine Verwaltungsvorschrift über das Meldeverfahren gemäß § 4 Abs. 6 BSIG. Abgerufen am 20. Oktober 2014.
  8. Computerwoche: Compliance trotz Cloud und Facebook - Mit GRC-Tools neue Risiken im Blick behalten. 2. September 2013, abgerufen am 21. Mai 2014.
  9. Mathias Huber: Verinice: GPL-Helfer für den IT-Grundschutz. In: Linux Magazin (Online). 21. Januar 2008, abgerufen am 21. Mai 2014.
  10. heise Online: Preis für freies Sicherheits-Tool. 6. März 2009, abgerufen am 25. September 2013.
  11. Heise Newsticker: Security-Management: verinice 1.7.0 mit einfacherer Handhabung. 20. Mai 2014, abgerufen am 20. Mai 2014.
  12. Nils Magnus: Freies Grundschutzwerkzeug nimmt Fahrt auf. In: Linux Magazin (Online). 29. Oktober 2008, abgerufen am 23. Mai 2014.
  13. BSI: GSTOOL – Andere Tools zum IT-Grundschutz. Abgerufen am 23. Mai 2014.
  14. BSI: Tools zur Unterstützung des Grundschutzprozesses. Abgerufen am 23. Mai 2014.
  15. BSI: BSI stellt Entwicklung des GSTOOL 5.0 ein. Abgerufen am 23. Mai 2014.
  16. verinice.org: GSTOOL-Import. Abgerufen am 22. Mai 2014.
  17. Ronny Frankenstein: Open-Source-Sicherheitsmanagement mit verinice. In: iX. Abgerufen am 21. Mai 2014.
  18. Nils Magnus: Verinice - freies ISMS-Tool für Audits nach ISO 27001. In: Linux Magazin. Abgerufen am 21. Mai 2014.

Kategorie:IT-Sicherheit Kategorie:Freie Software