Verinice – Einführung und Überblick
Version vom 7. September 2025, 15:29 Uhr von Thomas.will (Diskussion | Beiträge)
Überblick
verinice ist ein Open-Source-Werkzeug zur Einführung und zum Betrieb von Informationssicherheits-Managementsystemen (ISMS). Es wird von der SerNet GmbH (Göttingen) entwickelt und unterstützt Organisationen dabei, internationale und nationale Standards für Informationssicherheit umzusetzen.
Besonders geeignet ist verinice für:
- BSI IT-Grundschutz (deutscher Standard für Informationssicherheit)
- ISO/IEC 27001 (internationaler Standard für ISMS)
Zielgruppen
- Behörden und öffentliche Verwaltung
- Unternehmen mit ISMS-Pflicht oder Zertifizierungszielen
- Hochschulen und Ausbildungsstätten
- IT-Sicherheitsberater und Auditoren
Varianten
- verinice.EVAL
- Kostenlose Desktop-Edition, gültig für 12 Monate. Ideal zum Kennenlernen, für Tests oder Schulungen. Einschränkungen: kein Team-Betrieb, kein Import/Export.
- verinice.PRO
- Kommerzielle Variante mit Server-Backend (PostgreSQL) und Mandantenfähigkeit. Unterstützt mehrere Anwender gleichzeitig und enthält Support sowie regelmäßige Updates.
- verinice.DE
- Spezialversion für deutsche Behörden, die spezifische Anforderungen des BSI erfüllt.
Hauptfunktionen
- Organisationsmodellierung: Abbildung von Geschäftsprozessen, IT-Systemen, Anwendungen, Netzwerken und Personal.
- Normintegration: Nutzung des IT-Grundschutz-Kompendiums und der ISO/IEC 27001 Controls direkt im Tool.
- Gefährdungs- und Risikoanalyse: Identifikation, Bewertung und Behandlung von Risiken.
- Maßnahmenmanagement: Dokumentation, Statusverfolgung und Wirksamkeitsprüfung von Maßnahmen.
- Audit-Unterstützung: Generierung von Reports und Exporten für interne und externe Audits.
- Teamfunktionen (PRO): Zusammenarbeit mehrerer Nutzer mit Rollen, Rechten und Workflows.
Technische Grundlagen
- Sprache: Java (Eclipse RCP)
- Plattformen: Linux, Windows, macOS
- Datenhaltung:
- Desktop-Edition: lokale Dateien im Benutzerverzeichnis
- PRO-Edition: PostgreSQL-Datenbank
- Oberfläche: Java-GUI, zusätzlich Web-Frontend in der PRO-Edition
Installation
Desktop-Edition (EVAL oder PRO-Client)
- Registrierung im verinice.SHOP
- Download der gewünschten Version (ZIP oder DEB)
- Installation:
- ZIP: Entpacken ins Benutzerverzeichnis, Start mit
./verinice.sh - DEB: Installation mit
sudo dpkg -i verinice-*.deb && sudo apt -f install
- ZIP: Entpacken ins Benutzerverzeichnis, Start mit
- Start über Menüeintrag oder Terminalbefehl
verinice
PRO-Edition
- Installation auf einem dedizierten Server mit PostgreSQL
- Zentrale Datenhaltung für mehrere Anwender
- Zugriff per Desktop-Client und Webfrontend
Vorteile
- Unterstützung von IT-Grundschutz und ISO 27001 in einem Tool
- Open-Source mit kostenfreier Einstiegsversion
- Geeignet für Einzelnutzer (Desktop) und Teams (PRO)
- Breite Anwenderbasis in Behörden, Unternehmen und Hochschulen
- Erweiterbar durch Plugins und Schnittstellen
Einschränkungen
- EVAL-Version zeitlich limitiert (12 Monate)
- Kein Team-Betrieb und keine Im-/Export-Funktion in der EVAL-Version
- Oberfläche basiert auf Java/Eclipse, technisch solide, aber nicht hochmodern
- Fachliche Kenntnisse in IT-Grundschutz/ISO 27001 erforderlich
Typische Einsatzszenarien
- Behörden: Umsetzung von BSI IT-Grundschutz-Vorgaben
- Unternehmen: Vorbereitung auf ISO/IEC 27001-Zertifizierung
- Bildungseinrichtungen: Demonstrations- und Übungsplattform für ISMS-Themen
- Beratung und Audit: Unterstützung bei Risikoanalysen, Dokumentationen und Maßnahmenverfolgung
Weiterführende Informationen
- Offizielle Website: verinice.com
- Download: verinice.SHOP
- Quellcode: GitHub
- Dokumentation: verinice Dokumentation
- BSI IT-Grundschutz-Kompendium: BSI Grundschutz