Hallo,
bei einem Kunden habe ich das Problem, dass ein Dienstleister für einen Teil eines Verbundes Risikoanalysen machen soll. Wir haben die Rechte entsprechend vergeben (Schreibrechte auf die vom Dienstleister zu bearbeitenden Zielobjekte, Leserechte auf den Verbund selbst in der obersten Ebene und im Pfad bis zu den zu bearbeitenden Zielobjekten) und ein eigenes Berechtigungsprofil ohne kritische Dinge (Löschen von Objekten, Import/Export, …) erstellt.
Es funktioniert alles wie gewünscht mit einer Ausnahme: Der Dienstleister sieht das Icon-Overlay der Risikoanalyse nicht - somit fehlt die Qualitätskontrolle über die Farbe aus der Risikomatrix nach 200-3 und wir hatten nun schon einige „rote“ Risiken, die gar keine waren, weil der Dienstleister sich einfach nur in der Klappbox verklickt hatte. Außerdem vergisst er manchmal etwas, auch hier fehlt dann das warnende „schwarz“.
Welches Recht im Berechtigungsprofil muss ich setzen, damit das Icon-Overlay die hübschen Farben für das Risiko anzeigt?
Liebe Grüße aus Dresden
Ulf Riechen
Hallo uRiechen,
wurden in den Einstellungen die Icon-Overlays denn aktiviert?
Zu finden sind diese unter: Bearbeiten > Einstellungen > Allgemeine Einstellungen > Zeige Icon-Overlay für Risikoanalysewerte nach BSI IT-Grundschutz 200-3.
MfG
tanisow
1 „Gefällt mir“
Ja, das war auch meine erste Idee - hat nicht geholfen. 
Hallo uRiechen,
haben Sie es mit folgender Berechtigung probiert?
|
|
|
|
| BSIMOD/F/Konfiguration der Risikoanalyse bearbeiten |
Erlaubt das Bearbeiten der Risikokonfig- uration im modernisierten Grundschutz. |
|
|
MfG
tanisow
Hallo,
um das Problem einzugrenzen habe ich eine Testumgebung mit einem eigenen Verinice-Server aufgebaut - alles funktioniert. In der Produktivumgebung stimmen die Zugriffsrechte auch. Wenn der Dienstleister zum zweiten oder dritten Mal Verinice startet, sieht er einige Icon-Overlays - aber nicht alle. Beim Drücken von „Ansicht aktualisieren“ sind die Overlays dann wieder weg.
Ich selbst habe als Admin Zugriff auf alle Objekte (sehr viele Zielobjekte, komplexe Struktur, mehrere Dutzend Verbünde). Bei mir dauert es ca. eine Sekunde, bis die Overlays erscheinen. Der Dienstleister darf nur einen kleinen Teil der Baumstruktur lesen.
Nun habe ich einen Verdacht:
Vermutlich bekommt die Software beim Parsen des Baums so oft eine Zugriffsverletzung, dass irgendwann ein Timeout erreicht wird und dann fehlen die Overlays. Alle Overlays, die bis zum Timeout im Client angekommen sind, werden dargestellt.
Wäre das denkbar?
Mit freundlichen Grüßen
Ulf Riechen
Hallo @uRiechen,
könnten Sie uns eventuell die Log-Dateien des betroffenen Systems zusenden? Gern per Mail oder über das Support-Formular. Wir könnten dann das Problem genauer untersuchen.
Danke und viele Grüße
Jochen Kemnade
Hallo @uRiechen,
vielen Dank, ich habe das Logfile erhalten, darin findet sich aber zunächst nichts auffälliges.
Allerdings wird eine 1.24.x eingesetzt, bei der sich leider durch die neue Bausteinreferenzierung und deren Darstellung in der Applikation einige andere Operationen verlangsamt haben.
Es gibt leider keinen Workaround, wir haben jedoch Verbesserungen für die kommende Version 1.25 vorgesehen. Voraussichtlich wird diese im Oktober erscheinen.
Viele Grüße
Jochen Kemnade
2 „Gefällt mir“
Hallo @uRiechen,
tatsächlich ist für die Anzeige der Overlays die Berechtigung riskanalysis (ISM/F/Risikoanalyse (ISO27005)) erforderlich.
Da diese aber eigentlich für die ISO-Risikoanalyse vorgesehen war, ist das ein Bug, den wir in einer der nächsten Versionen beheben werden.
Bis dahin können Sie als Workaround die Berechtigung für die Benutzer aktivieren.
Viele Grüße
Jochen Kemnade
Vielen Dank, das war’s. Wir haben das Recht jetzt gesetzt und schon werden die Overlays korrekt angezeigt. 
