Willkommen bei verinice!

Besuchen Sie die Anwenderkonferenz „verinice.XP 2015″
am 15./16.9. in Berlin: 
veriniceXP.org !

verinice ist ein ISMS-Tool ohne Lizenz- oder Bezugskosten für das Management von Informationssicherheit. Die Software wird unter der Lizenz GPLv3 zum freien Download als OpenSource-Software bereit gestellt.

verinice eignet sich:

  • zur Implementierung von BSI IT-Grundschutz
  • für den Betrieb eines ISMS nach ISO 27001
  • zur Risikoanalyse nach ISO 27005
  • für ein Information Security Assessment (ISA) nach VDA-Vorgaben

verinice unterstützt die Betriebssysteme Windows, Linux und Mac OS und hat die Grundschutzkataloge des BSI lizenziert.

Diese Seite bietet Ihnen alle Informationen und Download-Möglichkeiten zum freien verinice-Client. Über die Buttons erreichen Sie die weiteren Online-Angebote zu verinice.

Die verinice-Webseiten werden gerade umgestaltet und überarbeitet. In der Übergangszeit finden Sie die alten verinice-Inhalte unter www.verinice.com .

verinice. im Überblick

ISMS

verinice unterstützt Sie beim Aufbau und Betrieb Ihres Managementsystems für Informationssicherheit (ISMS). Egal ob Sie sich an ISO 27001, BSI IT-Grundschutz, IDW PS 330 oder einem anderen Standard orientieren: verinice unterstützt Sie in Ihrer täglichen Arbeit als CISO oder IT-Sicherheitsbeauftragter.

Alle relevanten Standards sind entweder bereits im Tool integriert oder lassen sich leicht importieren. Alle erfassten Informationen legen Sie in einem Objektmodell ab, das auf die Anforderungen der IS abgestimmt und dynamisch erweiterbar ist. Ihre Daten bilden so die Grundlage für einen nachhaltigen IS-Prozess.

IT-Grundschutz (BSI)

verinice hat die IT-Grundschutzkataloge des BSI lizenziert – Bausteine, Gefährdungs- und Maßnahmenkatalog sind bereits in das ISMS-Tool integriert. Die speziell darauf abgestimmte Grundschutzperspektive ermöglicht Ihnen fokussiertes Arbeiten.

Mit verinice können Sie sofort mit der Modellierung Ihres IT-Sicherheitskonzepts beginnen. Dabei folgen Sie der IT-Grundschutz-Vorgehensweise nach BSI 100-2. verinice unterstützt Sie bei der Strukturanalyse, Schutzbedarfsdefinition sowie Schutzbedarfszuordnung und beherrscht automatische Schutzbedarfsvererbung. Definieren und verwalten Sie Rollen- und Berechtingungskonzepte. Führen Sie Basis-Sicherheitschecks, ergänzende Sicherheits- oder geführte Risikoanalysen (BSI 100-3) durch. Erstellen Sie einen Realisierungs- und Prüfplan.

Mit dem Ende des GSTOOL im Jahr 2016 müssen alle Anwender auf ein neues Werkzeug umstellen. Genau ein Nachfolger ist vollständig kostenfrei, beim BSI lizenziert und ohne Hintertüren programmiert mit öffentlich hinterlegtem Quellcode: verinice.

verinice begleitet Sie auf dem Weg in die Zukunft der Informationssicherheit nach dem GSTOOL.

GSTOOL-Import

Sie haben viel Zeit in die Pflege Ihrer Daten mit dem GSTOOL des BSI investiert? Dank der praxiserprobten und ausgereiften Importfunktion von verinice müssen Sie den Aufwand nicht abschreiben.

Der GSTOOL-Import von verinice übernimmt folgende Daten:

  • Zielobjekte
  • Zugeordnete Standard-Bausteine, -Maßnahmen und Rollen der Mitarbeiter
  • Interviewer und befragte Personen für Bausteine
  • Maßnahmenumsetzung: Verantwortliche Personen und Kosten
  • Notizen
  • Umsetzungsstatus und -erläuterungen der Maßnahmen
  • Verknüpfungen von  Zielobjekten untereinander
  • Schutzbedarfszuordnung von Zielobjekten
  • Ergänzende Sicherheitsanalysen und Risikoanalysen nach BSI 100-3 ab verinice 1.11 (inkl. Erhalt aller Zwischenschritte von der Gefährdungsübersicht über die -bewertung bis hin zur Risikobehandlung)

Für den Import ist die Verwendung des ebenfalls vom BSI bereit gestellten zusätzlichen XML-Export-Tools nicht erforderlich: mit der kostenfreien verinice-Einzelplatzversion können alle Daten direkt aus der GSTOOL-Datenbank ausgelesen werden. Mit verinice bekommen Sie den besten GSTOOL-Import im Markt!

Risikoanalyse

Mit verinice können Sie eine vollständige Risikoanalyse Ihrer Informationswerte durchführen und aus den Ergebnissen weitere Handlungen ableiten. Erfassen Sie Bedrohungen und Schwachstellen aus vorhandenen Quellen wie z.B. einem Schwachstellenscanner oder einem Penetrationstest. Verwenden Sie die Ergebnisse in Ihrer Risikoanalyse und lassen Sie verinice automatisch eine Risikobewertung für alle Assets durchführen. Egal ob Sie Ihre Risiken nach ISO 27005, BSI Standard 100-3 oder einem anderen Verfahren durchführen: verinice unterstützt Sie dabei!

Erstellen Sie eigene Risikoszenarien oder nutzen Sie den Gefährdungskatalog des BSI IT-Grundschutz. Alle Gefährdungen können auch bei einer Risikoanalyse nach ISO 27005 verwendet werden – damit ermöglicht Ihnen verinice Risk Assessments komfortabel per Drag-n-Drop.

Fangen Sie Ihre Risikobewertung erst gar nicht mit Excel-Tabellen an – die dabei entstehenden Redundanzen führen zwangsläufig zu Chaos in der Zukunft. Starten Sie lieber gleich mit verinice.

verinice.PRO enthält zusätzlich einen von erfahrenen Beratern erstellten Katalog mit generischen Risikoszenarien. Er ist sorgfältig in Bedrohungen und Schwachstellen aufgeschlüsselt, um eine einfache und realitätsnahe Bewertung von Risiken zu ermöglichen. Über den verinice-Shop können Sie den Risikokatalog auch für die verinice-Einzelplatzversion beziehen.

Self Assessments (VDA ISA)

Fragenkataloge wie z.B. das Information Security Assessment (ISA) des Verbands der Automobilindustrie (VDA) auf Basis der ISO 27002 bieten branchenübergreifend die Möglichkeit, sich selbst oder die beauftragten Dienstleister zum Stand der Informationssicherheit einzuschätzen. In enger Zusammenarbeit mit dem VDA hat das verinice.TEAM eine eigene Arbeits-Perspektive für die geführte Selbsteinschätzung entwickelt. Der VDA-ISA-Katalog liegt dazu vollständig in deutscher und englischer Fassung vor und ist in verinice standardmäßig enthalten.

Mit etwa einem Tag Aufwand erhalten Sie so mit verinice-Bordmitteln eine Momentaufnahme der Informationssicherheit in Ihrer Organisation. Diese eignet sich sowohl, um den Stand an die Unternehmensleitung zu kommunizieren, Fortschritte innerhalb eines IS-Projektes festzustellen und dabei auch noch die Abgabe der Ergebnisse zu erleichtern. Mit der Kombination von verinice und VDA ISA gelingen Ihnen so auch der erste Kontakt und der Einstig in das Thema IS-Management.

Ab Version 1.10 unterstützt verinice vollständig die Neuauflage des VDA IS-Assessment in der Version 2.x. Neben dem eigentlichen Katalog wurden auch die Methode zur Berechnung der Durchschnittswerte sowie der "Total Security Figure" angepasst. Der ausgegebene Report stellt im Spinnennetzdiagramm den erreichten Reifegrad und den Zielreifegrad zu jedem Kapitel dar. Ein Konsolidator ermöglicht die Übernahme von Assessment-Ergebnissen, die nach dem VDA 1.x-Standard erfolgt sind.

Asset-Register

Mit Hilfe von verinice pflegen Sie Ihre Prozesse und Informationswerte. Ein Asset-Register im Sinne der ISO 27001 (Inventory of Assets) lässt sich auf Knopfdruck exportieren.

Verknüpfen Sie Ihre Assets mit Prozessen, Prozesseigentümern und anderen Assets. verinice beherrscht die automatische Vererbung von Business Impact Werten im Asset-Baum. Zusätzliche Filter- und Bearbeitungsfunktionen wie z.B. der Masseneditor erleichtern die tägliche Arbeit zusätzlich.

Eine Vielzahl von Import- und Exportformaten (CSV, XML, XLS...) erleichtert die Übernahme von Daten aus vorhandenen Quellen und die weitere Verarbeitung mit anderen Tools.

Verwaltung von Dokumenten und Aufzeichnungen

Mit verinice verwalten Sie Ihre ISMS-Dokumentation:

  • Legen Sie Regelungen, Richtlinien und Aufzeichnungen jeder Art in verinice strukturiert ab.
  • Pflegen Sie Metadaten wie Autor, Version und Freigabe.
  • Bewahren Sie alles revisionssicher in mehreren Versionen.

Die Dokumente können entweder direkt in der verinice-Datenbank abgelegt oder über URLs in externen Quellen (DMS, Wiki etc.) referenziert werden. So bringen Sie Ihre gesamte Dokumentenpyramide an einer zentralen Stelle zusammen, egal wie verteilt die Dokumente in Ihrer Organisation angelegt werden.

All diese Funktionen bietet schon die Einzelplatzversion von verinice. Mit verinice.PRO erhalten Sie zusätzlich ein zentrales Dokumente-Repository, auf das mehrere Benutzer auch von unterschiedlichen Standorten aus zugreifen können.

Reporting

Das Erstellen von Berichten für Prüfer, Geschäftsleitung, Prozessverantwortliche und schließlich die Zusammenstellung von Referenzdokumenten für die Zertifizierung ist eine der Stärken von verinice. verinice-Berichte dienen der Dokumentation und Übersicht, als Entscheidungs- und Planungshilfe und zeigen anschaulich in Tabellen sowie Charts den Zustand der Informationssicherheit in Ihrer Organisation.

Unter anderem können Sie auf Knopfdruck die Referenzdokumente des BSI für den IT-Grundschutz (A1 - A7) ausgeben lassen oder einen VDA ISA-Report erzeugen. Auch Sofortmeldungen bzw. statistische Gesamtmeldungen an das BSI können Sie schnell erstellen. Alle Berichte lassen sich in einer Vielzahl von Formaten ausgeben und veröffentlichen oder auf Wunsch weiter bearbeiten. Dazu gehören: PDF, HTML, DOC, XLS,ODT, ODS.

Anwender von verinice.PRO erhalten zusätzlich den vDesigner – den Report-Designer von verinice.PRO. Damit lassen sich alle Vorlagen anpassen (angefangen von den Inhalten bis hin zum Branding/Corporate Design) oder vollständig eigene Reports erstellen.

Schnittstellen

verinice ist offen: Das Werkzeug setzt auf OpenSource, offene Standards und bietet selbst zahlreiche Schnittstellen.

Der Inventory/Asset-Import (XML-Schnittstelle) oder die Volltextsuche mit CSV-Export sind nur zwei der Import- und Exportformate von verinice. Sie erleichtern die Übernahme von Daten aus vorhandenen Quellen und die weitere Verarbeitung mit anderen Tools. Das ermöglicht z.B. den Import eigener Kataloge, mit denen Sie individuelle Arbeitsvorgaben oder Standards umsetzen können.

Die Kopplung von verinice mit einem Open Vulnerability Assessment System (OpenVAS) wie z.B. dem Greenbone Security Manager (GSM) integriert Schwachstellenscans zu einem zentral gesteuerten Prozess für das Schwachstellenmanagement.  Mit dem auf BIRT-basierenden vDesigner erstellen Sie eigene Reports und können diese in verinice verwenden.

Audits & Zertifizierungen

Mit verinice gestalten Sie Audits effizient und nachhaltig, egal ob Sie das Tool für interne oder externe Prüfungen einsetzen. Sie können beispielsweise auf Standardkataloge wie ISO 27001 oder die vollständigen Inhalte der BSI IT-Grundschutzkataloge zurück greifen.

Für Grundschutzauditoren schaffen spezielle Eingabemasken und angepasste Reports größtmögliche Effizienz bei der Durchführung von Zertifizierungsaudits, insbesondere bei der Verifikation des Basis-Sicherheitschecks. ISO 27001 Lead Auditoren, Wirtschaftsprüfer und IT-Revisoren profitieren von vorbereiteten Fragenkatalogen, Eingabemasken und einer Vielzahl an Hilfsfunktionen. Dazu gehören das dynamische Objektmodell, das sich an die eigene Arbeitsweise anpassen lässt, die Unterstützung für Reifegradmodelle sowie der Import von Interviewpartnern aus einem Active Directory u.v.m.

verinice wird von IS-Auditoren für IS-Auditoren entwickelt und daher konstant an die Bedarfe der Praxis angepasst.

Feature-Übersicht

Import/ Export/ Synchronisierung
ISO 27001
Risikoanalyse nach ISO 27005
IT-Grundschutz
Import eigener Kataloge
Plattformübergreifend
Offener Sourcecode
BIRT-Reporting
Reifegradmodell
Zentrales IS-Repository
Zentrale Dokumentenablage
Fernzugriff
Berechtigungskonzept
Sichere Verbindung (SSL)
Web-basierter Workflow
Mailbenachrichtigungen
Mehrbenutzerfähigkeit
Externe Datenbank (Postgres/ Oracle)
Directory-Anbindung
vDesigner

verinice.

Import/ Export/ Synchronisierung
ISO 27001
Risikoanalyse nach ISO 27005
IT-Grundschutz
Import eigener Kataloge
Plattformübergreifend
Offener Sourcecode
BIRT-Reporting
Reifegradmodell

verinice.PRO

Import/ Export/ Synchronisierung
ISO 27001
Risikoanalyse nach ISO 27005
IT-Grundschutz
Import eigener Kataloge
Plattformübergreifend
Offener Sourcecode
BIRT-Reporting
Reifegradmodell
Zentrales IS-Repository
Zentrale Dokumentenablage
Fernzugriff
Berechtigungskonzept
Sichere Verbindung (SSL)
Web-basierter Workflow
Mailbenachrichtigungen
Mehrbenutzerfähigkeit
Externe Datenbank (Postgres/ Oracle)
Directory-Anbindung
vDesigner

Technische Details

Eclipse Rich Client Platform

verinice ist eine Java-Anwendung. Die grafische Oberfläche ist mit der Rich Client Platform (RCP) umgesetzt. Dieses Sytem ist plattformunabhänig, nutzt aber die nativen GUI-Elemente des Betriebssystems.

Ebenfalls Teil der Eclipse Plattform ist der BIRT Report Designer. Alle Reports in verinice lassen sich damit anpassen – ebenso lassen sich vollständig neue Reports entwerfen, die direkt als PDF, HTML oder Excel (CSV) Datei ausgegeben werden können.

Dynamisches Objektmodell (HitroUI)

Ein Bestandteil von verinice ist das HitroUI Framework. In einer einfachen XML-Datei sind alle Felder und Feldtypen definiert. Datenbank und angezeigte Formulare werden automatisch an die von Ihnen definierten Felder angepasst.

Dieses Dynamische Objektmodell ermöglicht es Ihnen, zusätzliche Daten zu erfassen oder nicht benötigte Felder aus den Standardformularen zu entfernen. Sie können verinice dadurch an Ihre Arbeitsweise und Vorgaben Ihrer Organisation anpassen.

Datenbanken

Durch den Einsatz des OR-Mappers Hibernate ist verinice in der Lage, unterschiedliche Datenbanksysteme anzubinden. Offiziell unterstützt werden dabei:

  • PostgreSQL
  • Apache Derby
  • Oracle DBMS

3-Tier-Architektur

verinice bedient sich der klassischen 3-Tier-Architektur, bei der eine zentrale Datenbank und ein Applikationsserver Daten für den Client bereitstellen.

Der verinice.PRO-Applikationsserver ergänzt den reinen Client um ein zentrales IS-Repository in Ihrem Unternehmen. Er ermöglicht es, mit mehreren Personen an Ihrem ISMS zu arbeiten – auch standortübergreifend.

verinice. Downloads

verinice. für Windows

    verinice. für Linux

      verinice. für Mac OS X

        Kataloge und mehr

          Kontakt:

          SerNet GmbH
          Bahnhofsallee 1b
          37081 Göttingen
          www.sernet.de

          Logo_SerNet_weiss150

          licensed by

          logo_it-grundschutz_weiss
          Logo_SerNet_weiss150

          licensed by

          logo_it-grundschutz_weiss

          Impressum

          Gesellschaft:
          SerNet GmbH

          USt.ID: DE186981087

          Postadresse:
          Bahnhofsallee 1b
          37081 Göttingen

          E-Mail:
          kontakt(at)SerNet.DE

          Handelsregister:
          HR B 2816, Amtsgericht Göttingen

          Geschäftsführung:
          Dr. Johannes Loxen

          Wir freuen uns über Fragen und Anregungen zu verinice! Bitte senden Sie eine E-Mail an verinice(at)sernet.de

          „SerNet“ und „verinice“ sind geschützte Marken der SerNet Service Network GmbH in Deutschland und anderen Ländern. Weitere Informationen erhalten Sie im Impressum der SerNet.