Verinice ist eine Open-Source-Software für das Management von Informationssicherheit, die Erfüllung von Standards, Gesetzen und Regularien. Es unterstützt Anwender auch bei Selbstbewertungen der IT (Self Assessments) oder bei Informationssicherheit-Audits. Die IT-Grundschutz-Kataloge des BSI sowie der Fragenkatalog Information Security Assessment des VDA sind integriert.

Die Software wird unter der GNU General Public License (GPL) Version 3 kostenfrei bereit gestellt.

Verinice wird von der SerNet GmbH entwickelt. Diese ist auch Anbieter der kostenpflichtigen Server-Erweiterung unter dem Namen verinice.PRO^[1], die den Verinice-Client um einen Applikations-Server erweitert. Zu den zusätzlichen Funktionen zählen ein zentrales Repository für das Informationssicherheits-Management, Mehrbenutzerfähigkeit, Webfrontend, Fernzugriff, Berechtigungskonzept, Mandantenfähigkeit und Benutzerprofile.^[2]

Anwender

Verinice wird von Informationssicherheitsbeauftragten, Datenschutzbeauftragten, Administratoren, internen und externen Revisoren, ISO 27001-Auditoren, IT-Grundschschutz-Auditoren, Prozessverantwortlichen oder Geschäftsführern eingesetzt. Besondere Verbreitung findet das ISMS-Tool unter Beratern, Wirtschaftsprüfern und KMUs. Vermehrte Bedeutung gewinnt es seit Einführung der Server-Erweiterung in Konzernen, Bundesbehörden, Rechenzentren von Bundesländern, Kommunen und Stiftungen des öffentlichen Rechts.

Durch die Zusammenarbeit mit dem VDA ist Verinice verstärkt in Automobilkonzernen, bei deren Dienstleistern und Zulieferern im Einsatz.^[3]

Leistungsmerkmale

Unterstützung des IT-Grundschutz-Standards des BSI, der internationalen Norm ISO/IEC 27001
Unterstützung beim Nachweis der Erfüllung technisch-organisatorischer Maßnahmen gem. BDSG
Nachweis eines Internen Kontrollsystems in der IT
Import/Export/Synchronisierung von Daten
Rollenbasierte Zuweisung von Maßnahmen zu verantwortlichen Personen
Import von Daten aus GSTOOL-Datenbanken
Automatische Aktualisierungen
Wizard zur Risikoanalyse nach BSI-Standard 100-3
Risikoanalyse nach dem internationalen Standard ISO 27005
Import eigener Kataloge und somit die Möglichkeit individueller Arbeitsvorgaben
Vergabe von Tags und Filteroptionen
Richtlinien-Management
Objekte sind mit Links zu externen Dokumenten oder internen Dateianhängen verknüpfbar
Plattformübergreifend

Unterstützte Standards

Verinice unterstützt sowohl den IT-Grundschutz des BSI als auch internationale Standards wie ISO/IEC 27001 / 27002 sowie die Risikoanalyse nach BSI 100-3 oder ISO 27005.

Eigene Kataloge können importiert und Arbeitsvorgaben angelegt werden. So können auch nicht im Grundumfang vorgesehene Sicherheitsregime oder Verwendungszwecke berücksichtigt werden. Zum Beispiel lassen sich Richtlinien für die Social-Media-Nutzung definieren und deren Umsetzung überwachen.^[4]

Technische Details

verinice.
	Datei:V 128.tif BSI-Perspektive ISO-Perspektive
Basisdaten
Entwickler	SerNet GmbH
Erscheinungsjahr	2009
Aktuelle Version	1.7.0 ; (Format invalid)
Betriebssystem	Windows, Linux, Mac OS X
Programmiersprache	Java
Kategorie	ISMS
Lizenz	GPLv3
	verinice.-Website

Verinice ist eine Java-Anwendung und als solche verfügbar für Windows (ab Windows XP und neuer), Mac OS X, Linux (openSuSE, Ubuntu, RHEL, CentOS und weitere (umgetestet).

Die grafische Oberfläche ist mit der Rich Client Platform (RCP) umgesetzt. Dieses Sytem ist plattformunabhänig und nutzt die nativen GUI-Elemente des Betriebssystems. Durch den Einsatz des OR-Mappers Hibernate kann Verinice unterschiedliche Datenbank-Systeme anbinden. Offiziell unterstützt werden: PostgreSQL / Apache Derby / Oracle DBMS. Ein Bestandteil von verinice. ist das HitroUI-Framework. In einer einfachen XML-Datei sind alle Felder und Feldtypen definiert. Die vom Anwender definierten Felder werden automatisch in die Datenbank übernommen. Somit ist es möglich, zusätzliche Daten zu erfassen oder auch nicht benötigte Felder aus den Standardformularen zu entfernen.

Versionsgeschichte

Eine erste Version von Verinice erschien im Januar 2008.^[5] Auf der Cebit 2009 wurde diese mit dem Innovationspreis-IT der Initiative Mittelstand in der Kategorie Open Source ausgezeichnet. ^[6]

Version 1.7 liegt seit Mai 2014 vor.^[7]

Version	Erscheinungsdatum
Verinice 1.0	23.09.2009
Verinice 1.1	23.05.2010
verinice-1.2.0	16.11.2010
verinice-1.2.1	26.11.2010
verinice-1.2.2	17.01.2011
verinice-1.2.3	17.02.2011
verinice-1.3.0	14.04.2011
verinice-1.3.1	19.05.2011
verinice-1.3.2	21.07.2011
verinice-1.4.0	21.10.2011
verinice-1.4.1	24.10.2011
verinice-1.5.0	25.01.2012

Kritik

Verinice besitzt zur Zeit keine Compliance-Funktionen um verschiedene Standards gegeneinander abzubilden.

Andere Tools

Literatur

Ronny Frankenstein: Basiswerkzeug: Open-Source-Sicherheitsmanagement mit verinice In: iX 2/2011, S. 58f.^[8]
Alexander Koderman: Verinice. Open Source Tool für Datenschutz und IS-Management. In: Datenschutz und Datensicherheit, März 2009, Band 33, Nr. 3, S. 150-154
Alexander Koderman: Grundschutz mit Open Source In: Linux Technical Review, 2008, Ausgabe 10, S. 2-8
N.N.: Nettes Werkzeug managt Informationssicherheit. In: Sicherheits-Berater, 2013, Ausgabe 17, S. 258f.
Nils Magnus: Sicherheitsverwalter. Verinice - freies ISMS-Tool für Audits nach ISO 27001. In: Linux Magazin 03/08^[9]

Weblinks

Einzelnachweise

↑ Linux Magazin: Verinice Pro: Grundschutztool in Enterprise-Version. 16. Februar 2010, abgerufen am 22. Mai 2014.
↑ Übersicht der Verinice-Merkmale. Abgerufen am 21. Mai 2014.
↑ VDA: Das ISA-Tool verinice. Abgerufen am 21. Mai 2014.
↑ Computerwoche: Compliance trotz Cloud und Facebook - Mit GRC-Tools neue Risiken im Blick behalten. 2. September 2013, abgerufen am 21. Mai 2014.
↑ Linux Magazin: Verinice: GPL-Helfer für den IT-Grundschutz. 21. Januar 2008, abgerufen am 21. Mai 2014.
↑ heise Online: Preis für freies Sicherheits-Tool. 6. März 2009, abgerufen am 25. September 2013.
↑ Heise Newsticker: Security-Management: verinice 1.7.0 mit einfacherer Handhabung. 20. Mai 2014, abgerufen am 20. Mai 2014.
↑ Heise: Open-Source-Sicherheitsmanagement mit verinice. Abgerufen am 21. Mai 2014.
↑ Linux Magazin: Verinice - freies ISMS-Tool für Audits nach ISO 27001. Abgerufen am 21. Mai 2014.

[1] Linux Magazin: Verinice Pro: Grundschutztool in Enterprise-Version. 16. Februar 2010, abgerufen am 22. Mai 2014.

[2] Übersicht der Verinice-Merkmale. Abgerufen am 21. Mai 2014.

[3] VDA: Das ISA-Tool verinice. Abgerufen am 21. Mai 2014.

[4] Computerwoche: Compliance trotz Cloud und Facebook - Mit GRC-Tools neue Risiken im Blick behalten. 2. September 2013, abgerufen am 21. Mai 2014.

[5] Linux Magazin: Verinice: GPL-Helfer für den IT-Grundschutz. 21. Januar 2008, abgerufen am 21. Mai 2014.

[6] heise Online: Preis für freies Sicherheits-Tool. 6. März 2009, abgerufen am 25. September 2013.

[7] Heise Newsticker: Security-Management: verinice 1.7.0 mit einfacherer Handhabung. 20. Mai 2014, abgerufen am 20. Mai 2014.

[8] Heise: Open-Source-Sicherheitsmanagement mit verinice. Abgerufen am 21. Mai 2014.

[9] Linux Magazin: Verinice - freies ISMS-Tool für Audits nach ISO 27001. Abgerufen am 21. Mai 2014.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

Benutzer:Wortkomplex/Baustelle

Inhaltsverzeichnis