Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wer nutzt verinice?

Mitglied: laster

laster (Level 2) - Jetzt verbinden

11.05.2017 um 11:23 Uhr, 2302 Aufrufe, 7 Kommentare

Mahlzeit,

ich habe mir die freie Version von verinice installiert und 'schon' mal drüber geschaut.

Meine Frage ist,
1. wer nutzt das im Unternehmen (wahrscheinlich dann die Pro Version) und
2. wieweit kann man daraus ein IT-Sicherheitskonzept als Dokument erzeugen?

Mein Ziel: ein IT-Sicherheitskonzept.

vG
LS
Mitglied: n.o.b.o.d.y
11.05.2017 um 11:59 Uhr
Moin,

wir hatten uns unter anderem das Tool angesehen und es für (unsere Anforderungen) als zu unflexibel angesehen. Generell sind wir zu der Auffassung gekommen, dass uns ein Tool (egal welches) nicht viel bringt, da die meiste Arbeit außerhalb passieren muss. Bei der Risikonanlyse hilft einem da keine Software. Das geht nur mit Brain 1.0. Da hilften nur die BSI- oder 27001 ff.-Kataloge als Stichwortgeber

nach unserer Betrachtung kam aus Bayern das ISIS12 https://www.it-sicherheit-bayern.de/produkte-dienstleistungen/isis12.htm ..., was wohl einen anderen Ansatz der Herangehensweite hat. Das ist aber für kleinere Umgebungen (bis 100 MA(?)) gedacht und scheidet somit bei uns aus.

Schlußendlich machen wir alles per Handarbeit.

cu

ich
Bitte warten ..
Mitglied: laster
11.05.2017, aktualisiert um 12:11 Uhr
hallo n.o.b.o.d.y
danke für den Kommentar!

Schlußendlich machen wir alles per Handarbeit

und das kostet halt Zeit.
Es ist bestimmt sehr schwierig, da was zu schätzen (10 Standorte a 20 Clients, alle Server im RZ) ...

vG
LS
Bitte warten ..
Mitglied: n.o.b.o.d.y
LÖSUNG 11.05.2017 um 12:52 Uhr
Hallo,

ja, das kostete Zeit, bei uns wird das in Jahren gerechent. Was hilft ist Clustering, also das Zusammenfassen von Betrachtungsgegenständen mit gleichem Sicherheitsniveau. Sagen wir, die Arbeitsplätze an den 10 Standorten sind alle vergleichbar ausgestattet und es werden die gleichen Anwenungen benutzt. Das kann dann in einem Sicherheitskonzept beschrieben werden und nicht 10. Gleiches gilt für Gebäude, Serverräume, Verfahren etc. So bekommt man wenigstens mal einen Überblick, was alles betrachete werden muss.
Wir führen dann die einzelen Sicherheitskonzepte zu einem Gesamtkonzept zusammen, in dem nur auf die anderen SiKos verwiesen wird. Im obersten Dokument werden dann nur die TOP-Risiken abgebildet, die von unten "durchgereicht" wurden. Das macht dann das Leben bei der (jährlichen) Revision der Konzepte einfachern, da man sich der Reihe nach die einzelen SiKos vornehmen kann und nicht so ein Monsterdokument händeln muss.
Bitte warten ..
Mitglied: BernhardMeierrose
LÖSUNG 15.05.2017 um 09:25 Uhr
Moin,

ich nutze Verinice sehr intensiv bei meinen Kunden. (Ich betreue Mittelständler bei der Erstellung von Sicherheitskonzepten, Maßnahmenplänen, etc.) - Für mich hat es einfach den großen Vorteil, dass ich mit dem Tool die Struktur der Kunden nachbauen kann und z.B. Maßnahmen aus dem BSI-Katalogen und meinem eigenen Maßnahmenpool einfach per drag-drop verlinken kann. Zusätzlich kann ich dann nach definierten Regeln Maßnahmen als umgesetzt deklarieren. Beispiel: Eine neue USV sichert den gesamten Schrank ab, also habe ich für alle Server im Schrank die Maßnahme "USV anschließen" erledigt.
In meiner Berater-Funktion kann ich mit Verinice zwischen der Kunden-Installation und meiner Installation syncen, das hilft ungemein wenn ich Sachen im Office vorbereite und dann nur noch beim Kunden ausrolle.
Gerade beim Stichwork Risikoanalyse bietet Verinice mit den (leider kostenpflichtigen) Risiko-Katalogen eine echte Arbeitserleichterung - aber natürlich muss man die Vorlagen alle abarbeiten, was Gehirnschmalz erfordert.
Das größte Manko mMn ist, dass Verinice zu starr zwischen ISO-27001-Sicht und BSI-Katalog abgrenzt. Ich kann also nicht mal eben bei einem ISO-Kunden ein paar Maßnahmen aus dem BSI-Katalog verlinken.
Zur ISIS12 lasse ich mich an der Stelle mal nicht aus, empfehle aber im KMU-Bereich, sich auch mal mit der VdS-3473 auseinander zu setzen.

mein Fazit: kein Tool kann das Gehirn ersetzen, aber es kann lästige Verwaltungsarbeit abnehmen und eine Struktur bieten.
Und ein Konglumerat an Office-Dokumenten mag kurzfristig praktikabel erscheinen, spätestens in ein paar Jahren, wenn Du die Entwicklung der Informationssicherheit auswerten möchtest, fliegt Dir aber die Excel-Schlacht um die Ohren.

Gruß
Bernhard
Bitte warten ..
Mitglied: laster
17.05.2017 um 09:20 Uhr
Hallo Bernhard,
vielen Dank für deinen ausführlichen Kommentar.
War sehr hilfreich.
vG
LS
Bitte warten ..
Mitglied: AdmGrey
24.07.2017 um 18:06 Uhr
Hallo LS,

ich arbeite seit längerer Zeit mit verinice und kann es als "unterstützendes Werkzeug" zum Aufbau eines ISMS nur empfehlen. Falls Sie möchten kann ich Ihnen einen kurzen Überblick zu verinice via Web Session geben. Sagen Sie einfach Bescheid, falls Interesse besteht.

Viele Grüße
RG
Bitte warten ..
Mitglied: cybersec18
19.03.2018 um 10:12 Uhr
Hallo RG,

ich hätte gerne einen kurzen Überbelick zu vernice!

Danke!

VG
Bitte warten ..
Ähnliche Inhalte
Weiterbildung
Welche Infoplattformen nutzt ihr?
gelöst Frage von Stefan007Weiterbildung5 Kommentare

Hi, mich würde mal interessieren, welche Infoplattformen (Blogs, Youtube Channels) ihr neben dem Administratorforum nutzt, um Up2Date zu bleiben. ...

Off Topic
Welche Laptoptaschen nutzt Ihr so?
gelöst Frage von daho2016Off Topic12 Kommentare

Nabend zusammen, passt zwar nicht direkt in den Humor Bereich, allerdings gibt es kein "Sonstiges" oder "Allgemeines" im Offtopic. ...

Windows Server
Nutzt ihr ReFS statt NTFS
Frage von Der-PhilWindows Server3 Kommentare

Hallo! Ich habe einige stark frequentierte Windows Datenbankserver und Fileserver - teilweise mit extrem vielen, kleinen Dateien. Gerade Verzeichnisscans ...

Netzwerkmanagement

Nutzt ihr "Farbcodes" bei Netzwerkkabeln

Frage von Der-PhilNetzwerkmanagement17 Kommentare

Hallo! Ich versuche gerade Ordnung in meine Racks zu bekommen und wäre mal interessant, wie ihr die "Farben" der ...

Neue Wissensbeiträge
Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 2 TagenVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Apple

Apple Special Event vom 10.09.2019: Arcade, TV+, iPad und iPadOS, Watch und iPhone 11

Information von Trontur vor 3 TagenApple2 Kommentare

Hier könnt ihr euch die Keynote von Tim Cook auf dem Apple Special Event vom 10.09.2019 anschauen: September Event ...

LAN, WAN, Wireless

Das RIPE ist quasi endgültig leer was IPv4 angeht

Information von LordGurke vor 11 TagenLAN, WAN, Wireless8 Kommentare

Das RIPE teilt mit, dass sie erwarten, Ende des Jahres keine /22-IPv4-Allocations (1.024 Adressen) mehr vergeben zu können. Dann ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWusste vor 11 TagenVerschlüsselung & Zertifikate

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

Heiß diskutierte Inhalte
Hyper-V
Umzug Hyper-V mit VM in anderen Netzwerkabschnitt
gelöst Frage von keine-ahnungHyper-V9 Kommentare

Moin at all, ich habe leider den Freitag verpennt - daher meine obligate Freitagsfrage erst jetzt Ich habe einen ...

Windows 10
Windows 10 ( upgrade per media creator von win7 ) hat keine Systemwiederherstellung
gelöst Frage von knirschkeWindows 108 Kommentare

Hallo ! Habe letztlich mein Win7 auf Win10 aufgepeppt per Media Creator. Ging - obzwar recht spät - ganz ...

Windows Server
Drucker auf dem Terminalserver 2016 via Printserver wird nicht angezeigt
Frage von EchterHansenWindows Server7 Kommentare

Moin Moin, ich habe hier zwei 2016er Terminalserver und einen 2016er Printserver, auf dem ca. 10 RICOH-Drucker Typ 4. ...

Netzwerkgrundlagen
PFSense OPENVPN, kein Zugriff auf WAN
Frage von AK-47.2Netzwerkgrundlagen6 Kommentare

Liebes Forum, ich habe leider weder in diesem Forum noch im Internet eine Lösung zu MEINEM Problem gefunden, oftmals ...