Aus Linux-Magazin 03/2008

Verinice – freies ISMS-Tool für Audits nach ISO 27001

© Vladislav Lebedinskiy / Fotolia.com

IT-Sicherheitsmanagement hat den Ruf, für den Administrator ein bürokratischer Alptraum ohne technischen Tiefgang zu sein. Das Linux-Magazin untersucht Motivation und Hintergründe dieses Ansatzes und stellt ein neues ISMS-Werkzeug vor, das antritt, um die Arbeit des Sicherheitsbeauftragten zu vereinfachen.

Starke Nerven braucht, wer für die IT-Sicherheit verantwortlich ist − ohne gute Vorbereitung sind die Unwägbarkeiten vielfältig. Doch wie findet der Sicherheitsbeauftragte heraus, wie es um seinen Verantwortungsbereich bestellt ist? Sicherheit ist nur schwer messbar. Zwar versuchen sich immer wieder Autoren an Metriken zur Sicherheit [1], aber richtig durchgesetzt hat sich nichts.

Sicherheit, argumentieren viele Experten, sei jeweils die Summe von vornehmlich präventiven Maßnahmen, um vor gewissen Bedrohungen zu schützen [2]. Um diese zu systematisieren, treten verschiedene Normierungswerke an: Die IT Infrastructure Library [3] standardisiert beispielsweise eine Reihe von Prozessen, die auch die Maßnahmen zum Schutz von Daten und Systemen transparenter machen sollen.

Dass solche Maßnahmen nicht nur zur Befriedigung technischer Detailverliebtheit dienen, sondern handfeste wirtschaftliche Hintergründe haben, zeigt die Affäre um die Pleiten der börsennotierten US-amerikanischen Unternehmen Worldcom und Enron. Weil hier (nicht nur in der IT) geregelte Abläufe fehlten, konnte die Schieflage des Unternehmens lange unentdeckt (sagen einige) oder verschleiert (sagen andere) bleiben.

Weil die Börse keinen Spaß versteht, wenn es um viel Geld geht, entstand unter der Ägide zweier US-Ausschussvorsitzender ein Rahmenwerk, das für börsennotierte Kapitalgesellschaften in den USA verpflichtend ist und nach ihren Schöpfern Sarbanes-Oxley Act heißt. Viele IT-Verantwortliche nennen es SOX.

Geld sorgt für Sicherheit

Unabhängig von SOX hatten sich nationale und internationale Normierugsgremien bereits darüber Gedanken gemacht, wie Unternehmen ihr Sicherheitsmanagement vereinheitlichen können. Als wegweisend galt lange Zeit der britische Standard BS 7799, der verschiedene Aufgaben und Abläufe in der IT-Sicherheit spezifiziert. Dieser Standard war jedoch sehr generisch und enthält kaum Handlungsanweisungen. Hilfestellung über die Planung seiner Firewall oder Handreichungen zum Einsatz starker Kryptographie beispielsweise sucht der Admin hier vergeblich.

Verinice

Werkzeug zum Verwalten von Angaben zur Sicherheit in Unternehmen und Behörden. Es entspricht den Vorgaben der Grundschutzkataloge des BSI.

Version: 0.6 vom Januar 2008

Standards: BSI 100-2, ISO 27001

Lizenz: GPLv3

Anbieter: Sernet GmbH

Download: [http://www.verinice.org]

Papier ist geduldig

Stattdessen fordert der Standard zunächst einmal die richtige Geisteshaltung von Verantwortlichen ein: Nicht nur Administratoren und IT-Verantwortliche sollen sich zur Sicherheit bekennen, auch Geschäftsführer und Vorstände sollen das Thema als wichtig begreifen. Da wohl ein Konsens besteht, dass niemand von gewissen Führungsetagen aufwärts technisches Verständnis für die möglichen Probleme und ihre Lösung erwarten darf, setzt der Standard hier auf umfängliche Papiere.

Sie heißen dann je nach Gusto Sicherheitskonzepte, Policys oder Leitlinien und treten an, unabhängig von der jeweils aktuell verfügbaren Technik geeignete Maßnahmen zu beschreiben, die Sicherheit gewährleisten mögen. Auf diese Weise sei dem schnellen Wechsel der Bedrohungen und ihrer Abwehr angemessen Rechnung zu tragen.

Der Mangel an Alternativen bescherte BS 7799 immerhin so viel Erfolg, dass er von der nationalen in die internationale Liga aufstieg: ISO 17799 ist mehr oder weniger eine unmittelbare Adaption des ursprünglich britischen Standards, der noch einen Anhang mit konkreteren Vorschlägen hatte. Aus den Handlungsanweisungen und den Erfahrungen mit ISO 17799 entstand schließlich der jüngste Spross der Sicherheitsstandards, die Familie ISO 2700x, die diesen Themenbereich der Standards konsolidieren soll.Kern dieser Sammlung ist ISO 27001, die anderen Ziffern bezeichnen diverse ergänzende Hilfsdokumente.

Dieser Standard hat den Vorteil, immerhin so konkret zu sein, dass sich zumindest mittlere und größere Unternehmen oft mit Hilfe von Beratern an ihm orientieren und – aus Sicht vieler Verantwortlicher noch viel wichtiger – die Informationstechnik des eigenen Hauses nach ihm zertifizieren lassen können.

Grundschutz von der Stange

Die Aufgabe des Bundesamts für Sicherheit in der Informationstechnik in Deutschland ist es, Ansprechpartner für Bundesbehörden und Bürger hinsichtlich informationstechnischer Bedrohungen zu sein [4]. Aus diesem Grunde brachte das Amt eine Reihe von Empfehlungen zur IT-Sicherheit heraus. Es systematisierte sie schließlich in dem so genannten Grundschutzhandbuch (GSHB) und schuf damit ein Modell, das zumindest einen Grundschutz bietet. Durch seinen im Vergleich zu anderen Standards hohen Praxisbezug war das GSHB beliebt. Behörden und Unternehmen konnten sich sogar nach dem im Handbuch angegebenen Verfahren überprüfen lassen und bekamen von akkreditierten Auditoren dafür ein Zertifikat.

Weil dieses jedoch außerhalb Deutschlands nicht viel wert war, überarbeitete das BSI seine Empfehlungen und machte sie kompatibel mit ISO 27001. Seither nennt das BSI das ehemalige Grundschutzhandbuch nun BSI-Grundschutzkataloge [5]. Die einzelnen Teildokumente nennt es BSI 100-X.

In BSI 100-1 beschreibt die Behörde ihre Sicht von einem ISMS (Informationssicherheits Managementsystem), die sich an ISO 27001 orientiert. In die konkrete Vorgehensweise, die früher als das Grundschutzmodell bekannt war, führt BSI 100-2 ein. Das Dokument motiviert beispielsweise dazu, zunächst zu analysieren, welche Abteilungen, Personen, Computer und Anwendungen vom ISMS betroffen sein sollen (Strukturanalyse) und wie schützenswert die einzelnen Bereiche sind (Schutzbedarfsfeststellung). Kurz gesagt findet hier eine mehr oder weniger komplette Bestandsaufnahme der IT-Technik eines Unternehmens oder einer Organisation statt.

Festgelegte Prozesse

Ist dieser allein schon umfangreiche Teil der Arbeit erledigt, sind in einer Risikoanalyse Gefährdungen den einzelnen Bereichen zuzuordnen. Sind auch diese bekannt, beschreiben die Kataloge viele Maßnahmen, die vor den Gefährdungen schützen sollen. Jene Planungen fasst das Sicherheitsmanagement unter dem Begriff Sicherheitskonzept zusammen. Natürlich ist es wichtig, dass die Realität in den Serverräumen und Büros nicht allzu weit von den Konzepten auf dem Papier abweicht. Dazu schlägt das Vorgehensmodell Sicherheitsüberprüfungen vor, aus denen natürlich wieder neue Vorschläge für Gefahren, Maßnahmen und Risiken hervorgehen. So schließt sich der Kreis.

Möchte ein IT-Betrieb nun dokumentieren, dass er dieses Modell zum kontinuierlichen Sicherheitsmanagement tatsächlich verfolgt, kann er sich von akkreditierten Auditoren nach den Grundschutzkatalogen prüfen lassen und erhält im Erfolgsfall dafür ein international anerkanntes Zertifikat nach ISO 27001.

Ein solches Audit darf man sich nicht wie eine klassische Prüfung vorstellen, die einen festgelegten Stoff abfragt. Stattdessen geht es darum, den Auditor davon zu überzeugen, dass ein dokumentiertes Konzept geeignete Abläufe enthält, die wirksame Maßnahmen gegenüber denkbaren Bedrohungen ergreifen (siehe Abbildung 1).

Abbildung 1: BSI 100-2 beschreibt detailliert den Regelkreislauf der IT-Sicherheit. In Analysephasen bewerten Auditoren, wie gut die Konzepte umgesetzt sind. Eventuelle Abweichungen sollen die IT-Verantwortlichen dann beheben. Ergeben sich darüber hinaus neue Anforderungen an die Sicherheit, neue Bedrohungen oder neue Anwendungen, beginnt der Kreislauf von Neuem.

Abbildung 1: BSI 100-2 beschreibt detailliert den Regelkreislauf der IT-Sicherheit. In Analysephasen bewerten Auditoren, wie gut die Konzepte umgesetzt sind. Eventuelle Abweichungen sollen die IT-Verantwortlichen dann beheben. Ergeben sich darüber hinaus neue Anforderungen an die Sicherheit, neue Bedrohungen oder neue Anwendungen, beginnt der Kreislauf von Neuem.

Mit Brief und Siegel

Die Grundschutzkataloge bilden ein sehr umfassendes Werk von über 3000 Seiten in der ursprünglichen Lose-Blatt-Sammlung, die aber auch im Web abzurufen sind. Kern der Kataloge sind Bausteine, die sehr unterschiedliche Bereiche beschreiben, in denen Sicherheit eine Rolle spielt. Ihr Umfang reicht von völlig untechnischen Fragestellungen wie der Personalpolitik eines Unternehmens in Hinsicht auf sicherheitskritische Bereiche bis hin zu konkreten Systemgruppen wie Laptops oder Arbeitsgruppenservern. Der Katalog von 2006 verzeichnet ungefähr 70 Bausteine.

Obgleich diese viele Anwendungsbereiche abdecken, fällt doch schnell die unterschiedliche Granularität der Bausteine auf. So gibt es beispielsweise eigene Bausteine zu Details von sowohl Netware 3 und Netware 4, aber keinen eigenen Baustein für Konzepte wie VPNs, um nur ein Beispiel zu nennen. Um die Bausteine etwas übersichtlicher anzuordnen, hat das BSI sie in fünf Kategorien angeordnet, auch Schichten genannt (siehe Tabelle 1).

Tabelle 1: Katalog der
Bausteine

Ein zweiter Katalog listet insgesamt 425 Gefährdungsarten auf. Ein Beispiel aus dem Bereich “Höhere Gewalt” ist ein Wasserschaden, der Bereich “Vorsätzliche Handlungen” nennt unter anderem das Ausprobieren von Passwörtern oder den Missbrauch von Administrator-Rechten. Die Gefährdungen teilt der Grundschutzkatalog ebenfalls in Bereiche ein (siehe Tabelle 2).

Tabelle 2: Katalog der
Gefährdungen

Der dritte Katalog enthält schließlich Maßnahmen, die den genannten Gefährdungen entgegenwirken. Einige sind eher allgemeiner Natur, andere gehen auf konkrete Details ein. Die Maßnahme M 3.5 fordert zum Beispiel nur, Schulungen zu IT-Sicherheitsmaßnahmen durchzuführen, Maßnahme M 5.19 befasst sich dagegen sehr detailliert mit den Sicherheitsmechanismen von Sendmail und schlägt einzelne Konfigurationsparameter vor. Dennoch ist die schiere Anzahl von 1057 Einzelmaßnahmen schon beeindruckend (Tabelle 3).

Tabelle 3: Katalog der
Maßnahmen

Wer sich einmal überlegt, dass nun jeder Baustein einerseits mit einer Reihe von Bedrohungen und andererseits einer Liste von Maßnahmen verknüpft ist, erkennt schnell die gewaltige Komplexität des Grundschutzansatzes. Hinzu kommt, dass ein Baustein, etwa der Unix-Server, in einem Unternehmen typischerweise gleich mehrfach vorkommt. Die Aufgabe eines Mitarbeiters, der sich um das Sicherheitsmanagement kümmern soll, ist es daher auch, im ersten Schritt alle IT-Systeme zu identifizieren, ihnen danach mögliche Bedrohungen zuzuordnen und schließlich mit geeigneten Maßnahmen zu verbinden.

IT-Systeme modellieren

Das ist im Einzelfall nicht besonders schwierig, wie ein Beispiel verdeutlicht: Ein Sicherheitsbeauftragter weist dem Mailserver »box« die Bausteine B3.101 (allgemeiner Server) und B3.102 (Unix-Server) zu. Zusätzlich verbindet er das System mit dem Baustein B5.3 (E-Mail) aus der Gruppe der Anwendungen.

Allein diese Auswahl ordnet »box« rund 70 Gefährdungen und 90 denkbare Maßnahmen zu. Nicht alle Zuordnungen mögen zu dem betrachteten Mailserver passen, aber es ist die Aufgabe des Sicherheitsbeauftragten, die Möglichkeiten durchzusehen und gegebenenfalls zu begründen, warum eine Gefährdung nicht zutrifft. Wenn der Mailserver kein Samba aktiviert, müssen die Admins auch nicht die Konfigurationsempfehlungen für die Datei »samba.conf« auf diesem System berücksichtigen.

Hilfe durch Werkzeuge

Das Beispiel war noch überschaubar, in der Praxis macht es jedoch die schiere Anzahl von IT-Systemen, Bedrohungen und Maßnahmen oft schwierig, den Überblick zu behalten. Die Folge aus diesem Umstand war, dass bald umfängliche Dokumente in Tabellenkalkulationen entstanden, um alle Angaben zu verwalten. Noch einen Schritt weiter gehen spezialisierte Anwendungen, die nicht nur das einmalige Erfassen der Zuordnungen im Blick behalten, sondern antreten, um auch Änderungen in der IT-Landschaft zu verwalten. Einige Werkzeuge integrieren auch umfangreiche Reportfunktionen. Neben den mitunter erheblichen Preisen für die Werkzeuge stimmt viele Sicherheitsbeauftragte die oft etwas lieblos wirkende Funktionalität skeptisch. Viele Programme tun offenbar nicht viel mehr, als den Ansatz der Tabellenkalkulation in eine Anwendung zu übertragen.

Ein neuer Herausforderer

Auf der “Perspektive Open Source” im Rahmen der Systems 2007 wurde ein freies ISMS-Werkzeug zur Arbeit mit den Grundschutzkatalogen vorgestellt, das antritt, dies besser zu machen. Das Beispiel des Mailservers wird dabei so modelliert, wie Abbildung 2 darstellt. Mittlerweile bietet das Projekt Verinice, das gegenwärtig Mitarbeiter des Göttinger Unternehmens Sernet betreiben, die Software auf seiner Website zum Download an [6]. Das Grundschutztool ist unter der GPLv3 lizenziert und liegt in der Version 0.6 vor. Das bei vielen Open-Source-Projekten leider oft anzutreffende Understatement der Versionsnummer − so viel sei vorweggenommen − ist angesichts der Stabilität und des Funktionsumfangs eher unangemessen.

Abbildung 2: Selbst ein einzelnes System mit lediglich drei zugeordneten Bausteinen kann im weiteren Verlauf eine Vielzahl von Sicherheitsmaßnahmen nach sich ziehen.

Abbildung 2: Selbst ein einzelnes System mit lediglich drei zugeordneten Bausteinen kann im weiteren Verlauf eine Vielzahl von Sicherheitsmaßnahmen nach sich ziehen.

Sowohl für Mac OS, Windows und Linux bietet das Projekt Archive an, die Linux-Variante schlägt mit 36 MByte zu Buche. Im entpackten Tar-Archiv findet sich das Startskript »verinice«, sodass sich die Installation sehr einfach gestaltet. Alle weiteren Konfigurationen nimmt der Anwender über die laufende Applikation vor.

Verinice erfordert ein Java 5 Runtime Environment. Im Test auf einem aktuellen Kubuntu-System startete die Applikation ohne weitere Konfigurationen. Gleich zu Beginn wird deutlich, dass Verinice auf den Schultern von Riesen aufbaut: Die Eclipse Rich Client Platform dient als Basis der Anwendung. Als Datenbank ist Derby eingebaut, MySQL und PostgreSQL unterstützt es ebenfalls. Hibernate fungiert als Object Mapper, Xerces und Saxon parsen das XML, Open Office dient zur Bearbeitung erzeugter Reports. Alle genannten Komponenten finden sich auf dem ISO-Image der CD-ROM, die ebenfalls auf der Projektseite zum Download per FTP bereitsteht.

Geführte Konfiguration

Sympathisch ist, dass Verinice beim ersten Programmstart eine kurze Übersicht des Grundschutzprozesses zeigt und deutlich darauf hinweist, dass Sicherheitsmanagement keine Aufgabe für einen einzelnen regnerischen Nachmittag ist (siehe Abbildung 3). Vor der Arbeit mit dem Grundschutztool steht die Konfiguration. Bequem ist, dass Verinice den Anwender gleichsam an die Hand nimmt und durch das Programm führt.

Abbildung 3: Gleich beim Programmstart vermittelt Verinice einen Überblick des Grundschutzmodells.

Abbildung 3: Gleich beim Programmstart vermittelt Verinice einen Überblick des Grundschutzmodells.

Als Erstes erscheint ein Spickzettel mit den nächsten Schritten (Abbildung 4). Da Verinice selbst die Grundschutzkataloge nicht eingebaut hat, muss der Anwender sie laden. Dazu gibt es zwei Möglichkeiten: Einerseits hat die hinter dem Projekt stehende Firma Sernet eine Vereinbarung mit dem BSI getroffen und bietet auf der CD-ROM ein Zip-Archiv an. Alternativ kann Verinice aber auch direkt auf die öffentlich zugänglichen Webseiten des BSI zugreifen und sich von dort alle Daten holen. Die eingebauten XML-Parser laden die umfangreichen Bausteine und Module dann in die integrierte Datenbank.

Abbildung 4: Eine große Hilfestellung ist der Spickzettel, der den Benutzer durch die wichtigsten Abschnitte der Konfiguration führt.

Abbildung 4: Eine große Hilfestellung ist der Spickzettel, der den Benutzer durch die wichtigsten Abschnitte der Konfiguration führt.

Zunächst fallen im Browser »IT-Grundschutz« die verschiedenen Bausteine auf. Das BSI hat für jeden Baustein schon eine Reihe von Bedrohungen und Maßnahmen definiert. Verinice zeigt diese Abhängigkeiten in einer Baumdarstellung. Auch wenn diese Funktion schlicht erscheint, erweist sie sich als schon deutlich praktischer als das entsprechende Browsen durch die Webseiten des BSI, vom Blättern in einer Lose-Blatt-Sammlung ganz zu schweigen. Eine gewisse Vertrautheit beim Benutzen der Eclipse Rich Client Platform ist von Vorteil, aber auch ein neuer Anwender findet sich schnell zurecht: Er kann alle Fenster innerhalb des Hauptfensters positionieren, sie docken sich dann dynamisch an (siehe Abbildung 5).

Abbildung 5: Verinice stellt die einzelnen Grundschutzkataloge gegliedert und übersichtlich dar. Anwender können die Oberfläche dem jeweiligen Bearbeitungsschritt anpassen.

Abbildung 5: Verinice stellt die einzelnen Grundschutzkataloge gegliedert und übersichtlich dar. Anwender können die Oberfläche dem jeweiligen Bearbeitungsschritt anpassen.

Ein Filter sorgt für mehr Übersicht, wenn die Anzahl der Bausteine den Blick auf das Wesentliche verstellt. In diesen Details kann Verinice gegenüber einigen seiner Wettbewerber punkten. So braucht der Anwender dem Filter nicht nur einen Begriff zur Volltextsuche mitzugeben, er darf alternativ auch semantische Informationen wie die Schicht der Bausteine wählen und sich auf Gefährdungen oder Maßnahmen beschränken − ein nützliches Detail.

Das gerade ausgewählte Element zeigt Verinice in einem eigenen Maßnahmen-Browser an. Dieses Fenster verwendet das Programm auch, um Beschreibungen von Bausteinen oder Gefährdungen anzuzeigen. Die Texte sind direkt von den Webseiten des BSI übernommen. Etwas schade ist, dass das Fenster nicht die zu einem Baustein aufgeführten Bedrohungen und Maßnahmen direkt verlinkt. Dafür sind sie jedoch in der Baumdarstellung leicht auszuwählen.

Die Zuordnung von Maßnahmen und Bedrohungen selbst ist in Verinice fest. Wer hier Anpassungen vornehmen möchte, muss die in XML vorliegenden Daten direkt anpassen. Ob dies im Hinblick auf eine mögliche Zertifizierung nach ISO 27001 eine gute Idee ist, steht auf einem anderen Blatt.

Will sich ein Unternehmen tatsächlich entsprechend dem Standard modellieren, steht dem Sicherheitsbeauftragtem eine Bestandsaufnahme seiner Anwendungen und Systeme ins Haus. Das Grundschutzmodell verwendet dafür den Begriff IT-Verbund. Verinice speichert dessen Angaben in einer Datenbank. Ist nur eine Person mit der Pflege betraut, kann sie die eingebaute Derby-Datenbank verwenden. Bei größeren Organisationen bedarf es eines externen Datenbanksystems. Ein Klick auf das Datenbank-Icon des Modell-Browsers öffnet die Verbindung. Nun ist es an dem Sicherheitsbeauftragten, die verschiedenen Elemente zu erfassen, die das Grundschutzmodell kennt. Das Grundschutztool stellt dafür jeweils angepasste Formulare bereit (siehe Abbildung 6).

Abbildung 6: Im Modell-Browser erfasst der Anwender die sicherheitsrelevanten Systeme, Anwendungen, Lokationen, Räume und Mitarbeiter.

Abbildung 6: Im Modell-Browser erfasst der Anwender die sicherheitsrelevanten Systeme, Anwendungen, Lokationen, Räume und Mitarbeiter.

Auch hier entlasten durchdachte Details den Anwender: Ist ein Attribut bei vielen Elementen gleich, beispielsweise die Abteilungsbezeichnung bei zwei Dutzend Mitarbeitern, so kann er diese Angaben per »Bulk Edit« bearbeiten. Die Angaben in einem Formularfeld speichert [Strg]+[S], [Strg]+[W] schließt die Ansicht. Die Inventur gestaltet sich durch die Unterstützung des Werkzeugs nicht mehr so schmerzhaft, wie sie einigen Admins wohl noch aus Zeiten von Formularen aus Papier und Bleistift bekannt ist.

Gerade für Einsteiger in das Grundschutzmodell oder die ISMS-Anwendung bieten sich die in Verinice eingebauten Tutorien an, die im Menü »Hilfe« zur Auswahl stehen. Es öffnet sich daraufhin ein Dialog, der schon von der initialen Konfiguration bekannt ist. Er führt den Benutzer durch typische Tätigkeiten, etwa das beschriebene Erfassen eines IT-Verbunds (siehe Abbildung 7). Schritt für Schritt begleitet das Programm ihn auch beim Abarbeiten der anderen Prozessschritte im Regelkreislauf aus Abbildung 1.

Abbildung 7: Insgesamt neun Tutorials mit Schritt-für-Schritt-Anleitungen zu allen wichtigen Teilen des Programms sind in der Hilfefunktion von Verinice enthalten.

Abbildung 7: Insgesamt neun Tutorials mit Schritt-für-Schritt-Anleitungen zu allen wichtigen Teilen des Programms sind in der Hilfefunktion von Verinice enthalten.

Drum füge zusammen, was zusammengehört

Nachdem der Anwender seine IT-Landschaft erfasst hat, weist er den einzelnen Elementen passende Bausteine zu, die er aus dem Browser per Drag&Drop zuordnet. Verinice erkennt selbstständig anhand der jeweiligen Schicht, ob ein Baustein zum jeweiligen Objekt passt. Bei einigen Kombinationen erlaubt es die Zuordnung trotz unterschiedlicher Schichten, wenn der Anwender bestätigt, dass er weiß, was er tut.

Das Erfassen der Elemente und das Zuordnen von Bausteinen beschäftigt einen Sicherheitsbeauftragten eine beträchtliche Zeit. Wer Sicherheitsmanagement ernst nimmt, berücksichtigt auch im laufenden Betrieb die anfallenden Änderungen und trägt sie in der Datenbank von Verinice nach. Zusätzlich sollte er regelmäßig überprüfen, ob der dokumentierte Sicherheitszustand der Realität entspricht.

Beim tatsächlichen Durchführen eines solchen Soll-Ist-Abgleichs hilft Verinice jedoch nicht, hier sind andere Werkzeuge wie beispielsweise Nessus oder schlicht die Expertise eines Penetrationsteams gefragt. Die Ergebnisse dieser Überprüfungen vermag Verinice jedoch wieder zu erfassen und zu verwalten. Da gemeinhin eine große Anzahl von Aspekten zu überprüfen ist, bietet der Realisierungsplan Unterstützung und Übersicht beim Planen dieser Aufgaben (siehe Abbildung 8).

Abbildung 8: Der Realisierungsplan erlaubt die zeitliche Planung von Prüfterminen. Entsprechend stellt Verinice auch eine Übersicht der bereits durchgeführten Audits dar.

Abbildung 8: Der Realisierungsplan erlaubt die zeitliche Planung von Prüfterminen. Entsprechend stellt Verinice auch eine Übersicht der bereits durchgeführten Audits dar.

Wenn weitere Mitarbeiter bei den Audits mitwirken oder der aktuelle Stand dauerhaft archiviert werden soll, stellt das Grundschutztool mit seinem eingebauten Reportgenerator Übersichten zusammen. Dazu produziert es Open-Document-Tabellen. Wer tatsächlich eine Zertifizierung nach ISO 27001 anstrebt, benötigt solche Reports, um sie einem lizenzierten IT-Grundschutz-Auditor vorzulegen, der dann stichprobenhaft die Umsetzung prüft, bevor er das begehrte Zeugnis ausstellt.

Bonus für ein mächtiges Werkzeug

Wer genau hinschaut, entdeckt bei Verinice noch ein paar Zugaben, die eigentlich gar nicht mehr in den Kontext eines Grundschutztools gehören. Wieso nicht die bereits erfassten IT-Verbünde nutzen, haben sich die Entwickler wohl gedacht, um gleich auch noch festzuhalten, ob die dort verarbeiteten Informationen dem Datenschutz unterliegen, wer mit ihnen umgeht und was der Datenschutzbeauftragte dazu sagt. So fällt gewissermaßen nebenbei auch noch ein Datenschutzkonzept ab – praktisch.

Der Name Verinice verspricht nicht zu viel, die Eigenschaften des freien Grundschutztools sind wirklich sehr schön. In letzter Konsequenz speichert das Werkzeug zwar nur eine große Menge Textdaten in einem Datenbanksystem, pflegt sie und ruft sie wieder ab. Der Mehrwert der Anwendung besteht aber darin, dass die Autoren offenkundig selbst genau wissen, wie der Alltag eines Sicherheitsbeauftragten aussieht, welche Schritte am meisten Arbeit bedeuten und wie sie Aufwand vermeiden können. Dies haben sie überzeugend umgesetzt.

Nicht zuletzt das Entgegenkommen des BSI, das seine Grundschutzkataloge den Nutzern zur Verfügung stellt, sorgt ebenfalls dafür, dass Anwender nun auch mit einem freien Werkzeug Sicherheitsmanagement auf professionellem Niveau betreiben können.

Infos

[1] Michael Mörike, Stephanie Teufel (Hrsg.), “Kosten & Nutzen von IT-Sicherheit”: Dpunkt Verlag, 2006

[2] Peter Kraaibeek, Nils Magnus, “Sicherheitsmanagement: Das große Ganze”: Linux-Magazin-Sonderheft 1/04, S. 11

[3] Oliver Kluge, Peter Pieronczyk, “IT-Qualitätsmanagement nach den ITIL-Versionen 2 und 3”: Linux-Magazin 12/07, S. 108

[4] Bundesamt für Sicherheit in der Informationstechnik: [http://www.bsi.de/]

[5] Bundesamt für Sicherheit in der Informationstechnik, “Grundschutzkataloge”: [http://www.bsi.de/gshb/deutsch/]

[6] Verinice: [http://www.verinice.org]

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 6 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben