verinice
| |
---|---|
Datei:V 128.tif | |
Basisdaten
| |
Entwickler | SerNet GmbH |
Erscheinungsjahr | 2009 |
Aktuelle Version | 1.9 (Vorlage:Release date) |
Betriebssystem | Windows, Linux, Mac OS X |
Programmiersprache | Java |
Kategorie | ISMS,IT-Sicherheit |
Lizenz | GPLv3 |
deutschsprachig | ja |
verinice-Website |
Verinice ist eine Open-Source-Software, die das Management von Informationssicherheit (ISMS) unterstützt und einen Überblick über die Erfüllung von Standards, Gesetzen und Regularien verschafft. Verinice kommt auch bei Selbstbewertungen der Informationssicherheit (Information Self Assessments) oder bei Informationssicherheit-Audits[1] zum Einsatz. Die IT-Grundschutz-Kataloge des BSI sowie der Fragenkatalog "Information Security Assessment"[2] des VDA[3] sind integriert.
Die Software wird unter der GNU General Public License (GPL) Version 3 kostenfrei bereit gestellt. Als Sprachen stehen Deutsch und Englisch zur Auswahl.
Verinice wird von der SerNet GmbH entwickelt. Diese ist auch Anbieter einer kostenpflichtigen Server-Erweiterung namens verinice.PRO[4], die den Verinice-Client um einen Applikations-Server und zusätzliche Funktionen (u.a. zentrales Repository, Mehrbenutzerfähigkeit, Webfrontend, Fernzugriff, Berechtigungskonzept, Mandantenfähigkeit und Benutzerprofile) erweitert.[5]
Anwender
BearbeitenVerinice kommt in zahlreichen Bundesbehörden zum Einsatz. Dort gewinnt es seit Erscheinen der Server-Erweiterung vermehrt an Bedeutung, ebenso in Konzernen, Rechenzentren von Bundesländern, Kommunen und Stiftungen des öffentlichen Rechts. Besondere Verbreitung findet das ISMS-Tool außerdem unter Beratern, Wirtschaftsprüfern und KMUs. Verinice wird von Informationssicherheitsbeauftragten, Datenschutzbeauftragten, Administratoren, internen und externen Revisoren, ISO 27001-Auditoren, IT-Grundschschutz-Auditoren, Prozessverantwortlichen oder Geschäftsführern eingesetzt.
Durch die Zusammenarbeit mit dem VDA ist Verinice verstärkt in Automobilkonzernen, bei deren Dienstleistern und Zulieferern im Einsatz.[6]
Leistungsmerkmale
Bearbeiten- Unterstützung des IT-Grundschutz-Standards des BSI und der internationalen Norm ISO/IEC 27001
- Unterstützung beim Nachweis der Erfüllung technisch-organisatorischer Maßnahmen gemäß BDSG
- Nachweis eines Internen Kontrollsystems in der IT
- Unterstützung des Meldeverfahrens von Sicherheitsvorfällen für Bundesbehörden gemäß BSIG [7]
- Import/Export/Synchronisierung von Daten
- Rollenbasierte Zuweisung von Maßnahmen zu verantwortlichen Personen
- Import von Daten aus GSTOOL-Datenbanken
- Automatische Aktualisierungen
- Wizard zur Risikoanalyse nach BSI-Standard 100-3
- Risikoanalyse nach dem internationalen Standard ISO 27005
- Import eigener Kataloge und somit die Möglichkeit individueller Arbeitsvorgaben
- Vergabe von Tags und Filteroptionen
- Richtlinien-Management
- Objekte sind mit Links zu externen Dokumenten oder internen Dateianhängen verknüpfbar
- Plattformübergreifend
- Schnittstelle für den Import von Scan-Ergebnissen automatisierter Sicherheitschecks mit Greenbone Security Manager/Open Vulnerability Assessment System
Unterstützte Standards
BearbeitenVerinice unterstützt sowohl den IT-Grundschutz des BSI als auch internationale Standards wie ISO/IEC 27001 / 27002 sowie die Risikoanalyse nach BSI 100-3 oder ISO 27005.
Eigene Kataloge können importiert und Arbeitsvorgaben angelegt werden. So können auch nicht im Grundumfang vorgesehene Sicherheitsregime oder Verwendungszwecke berücksichtigt werden. Zum Beispiel lassen sich Richtlinien für die Social-Media-Nutzung definieren und deren Umsetzung überwachen.[8]
Technische Details
BearbeitenVerinice ist eine Java-Anwendung und als solche verfügbar für Windows (ab Windows XP und neuer), Mac OS X, Linux (openSuSE, Ubuntu, RHEL, CentOS und weitere (ungetestet)).
Die grafische Oberfläche ist mit der Rich Client Platform (RCP) umgesetzt. Dieses Sytem ist plattformunabhänig und nutzt die nativen GUI-Elemente des Betriebssystems. Durch den Einsatz des OR-Mappers Hibernate kann Verinice unterschiedliche Datenbank-Systeme anbinden. Offiziell unterstützt werden: PostgreSQL / Apache Derby / Oracle DBMS. Weiterer Bestandteil ist das HitroUI-Framework. In einer einfachen XML-Datei sind alle Felder und Feldtypen definiert. Die vom Anwender definierten Felder werden automatisch in die Datenbank übernommen: Zusätzliche Daten können erfasst, nicht benötigte Felder aus den Standardformularen entfernt werden.
Versionsgeschichte
BearbeitenEine erste Version von Verinice erschien im Januar 2008.[9] Auf der Cebit 2009 wurde diese mit dem Innovationspreis-IT der Initiative Mittelstand in der Kategorie Open Source ausgezeichnet. [10]
Version 1.7.0 liegt seit Mai 2014 vor.[11]
Version | Erscheinungsdatum | Neuerung |
---|---|---|
Verinice 1.0 | 23.09.2009 | |
Verinice 1.1 | 23.05.2010 | |
Verinice 1.2 | 16.11.2010 | |
Verinice 1.3 | 14.04.2011 | |
Verinice 1.4 | 21.10.2011 | |
Verinice 1.5 | 25.01.2012 | |
Verinice 1.6 | 16.11.2012 | |
Verinice 1.6.1 | 18.01.2013 | |
Verinice 1.6.2 | 28.05.2013 | Schnittstelle zur Schwachstellen-Verfolgung mit Greenbone Security Manager/OpenVAS |
Verinice 1.6.3 | 19.09.2013 | Unterstützung von Java 8 |
Verinice 1.7.0 | 09.05.2014 | vereinfachte Handhabung, schnellere Risikoanalyse und -behebung, neue Berichtsvorlagen, Unterstützung von ISO 27001:2013 und IT-Grundschutz 13. Ergänzungslieferung, Unterstützung des Meldeverfahrens für Sicherheitsvorfälle nach BSI-Gesetz |
Verinice 1.8 | 01.08.2014 | Untersützung generischer Workflows, |
Verinice 1.9 | 21.11.2014 | Unterstützung der Version 2.0 des IS-Assessment-Katalogs des Verbands der Automobilindustrie (VDA), zentrale Ablage von Berichtsvorlagen auf dem Verinice.PRO-Server, einfachere Benutzer- und Rechteverwaltung |
Kritik
BearbeitenVerinice besitzt zur Zeit keine Compliance-Funktionen um verschiedene Standards gegeneinander abzubilden. Das ISMS-Tool konzentriert sich außerdem auf den IT-Grundschutz sowie ISO 21700x. COBIT ist nicht implementiert. Durch die Open-Source-Ausrichtung und die Möglichkeit, eigene Kataloge anzulegen, können Nutzer die Entwicklung bei Bedarf selbst in die Hand nehmen oder bei einem Drittanbieter in Auftrag geben.
Andere Tools
BearbeitenVerinice ist eine Alternative zum GSTOOL, dem offiziellen Werkzeug des BSI für den IT-Grundschutz. Daneben existiert eine Vielzahl von Werkzeugen, die sich ebenfalls mit dem IT-Grundschutz, ISO 27001 oder weiteren Standards befassen:
Verinice hat einen Lizenzvertrag zur Verarbeitung von Daten der IT-Grundschutz-Kataloge mit dem BSI geschlossen[12] und wird von diesem als fähig zur Umsetzung der BSI-Standards eingestuft.[13] Verinice wird außerdem neben dem GSTOOL und weiteren Werkzeugen vom BSI zur allgemeinen Unterstützung des Grundschutzprozesses in den Bereichen Struktur- und Risikoanalyse sowie Maßnahmen-Umsetzung empfohlen.[14]
Nach Einstellung der Entwicklung des GSTOOL 5[15] gilt Verinice dadurch als eine der Nachfolgealternativen zum BSI-eigenen Werkzeug.
Ein GSTOOL-Import ermöglicht die Übernahme von Daten in Verinice.[16]
Literatur
Bearbeiten- Ronny Frankenstein: Basiswerkzeug: Open-Source-Sicherheitsmanagement mit verinice In: iX 2/2011, S. 58f.[17]
- Alexander Koderman: Verinice. Open Source Tool für Datenschutz und IS-Management. In: Datenschutz und Datensicherheit, März 2009, Band 33, Nr. 3, S. 150-154
- Alexander Koderman: Grundschutz mit Open Source In: Linux Technical Review, 2008, Ausgabe 10, S. 2-8
- N.N.: Nettes Werkzeug managt Informationssicherheit. In: Sicherheits-Berater, 2013, Ausgabe 17, S. 258f.
- Nils Magnus: Sicherheitsverwalter. Verinice - freies ISMS-Tool für Audits nach ISO 27001. In: Linux Magazin 03/08[18]
Weblinks
BearbeitenEinzelnachweise
Bearbeiten- ↑ Nils Magnus: Verinice - freies ISMS-Tool für Audits nach ISO 27001. In: Linux Magazin. Abgerufen am 21. Mai 2014.
- ↑ Informationsschutz und Risk Management: Informationsschutz-Sicherheitsanforderungen in der Automobilindustrie. 14. Februar 2011, abgerufen am 22. Mai 2014.
- ↑ Mathias Huber: Verinice 1.2 mit Features für Automobilindustrie. 20. Dezember 2010, abgerufen am 23. Mai 2014.
- ↑ Mathias Huber: Verinice Pro: Grundschutztool in Enterprise-Version. In: Linux Magazin (Online). 16. Februar 2010, abgerufen am 22. Mai 2014.
- ↑ Übersicht der Verinice-Merkmale. Abgerufen am 21. Mai 2014.
- ↑ VDA: Das ISA-Tool verinice. Abgerufen am 21. Mai 2014.
- ↑ Allgemeine Verwaltungsvorschrift über das Meldeverfahren gemäß § 4 Abs. 6 BSIG. Abgerufen am 20. Oktober 2014.
- ↑ Computerwoche: Compliance trotz Cloud und Facebook - Mit GRC-Tools neue Risiken im Blick behalten. 2. September 2013, abgerufen am 21. Mai 2014.
- ↑ Mathias Huber: Verinice: GPL-Helfer für den IT-Grundschutz. In: Linux Magazin (Online). 21. Januar 2008, abgerufen am 21. Mai 2014.
- ↑ heise Online: Preis für freies Sicherheits-Tool. 6. März 2009, abgerufen am 25. September 2013.
- ↑ Heise Newsticker: Security-Management: verinice 1.7.0 mit einfacherer Handhabung. 20. Mai 2014, abgerufen am 20. Mai 2014.
- ↑ Nils Magnus: Freies Grundschutzwerkzeug nimmt Fahrt auf. In: Linux Magazin (Online). 29. Oktober 2008, abgerufen am 23. Mai 2014.
- ↑ BSI: GSTOOL – Andere Tools zum IT-Grundschutz. Abgerufen am 23. Mai 2014.
- ↑ BSI: Tools zur Unterstützung des Grundschutzprozesses. Abgerufen am 23. Mai 2014.
- ↑ BSI: BSI stellt Entwicklung des GSTOOL 5.0 ein. Abgerufen am 23. Mai 2014.
- ↑ verinice.org: GSTOOL-Import. Abgerufen am 22. Mai 2014.
- ↑ Ronny Frankenstein: Open-Source-Sicherheitsmanagement mit verinice. In: iX. Abgerufen am 21. Mai 2014.
- ↑ Nils Magnus: Verinice - freies ISMS-Tool für Audits nach ISO 27001. In: Linux Magazin. Abgerufen am 21. Mai 2014.