Login: Support | Partner    
 
Home » Learning Center » Task: IT-Grundschutz 

Task: IT-Grundschutz

With the Greenbone Security Manager it is possible to automatically check the German "IT-Grundschutz-Kataloge" as published and maintained by the Bundesamt für Sicherheit in der Informationstechnik (German Federal Office for IT Security, BSI).

Supported is the current (13th) "Ergänzungslieferung" with tests for over 100 measures. That is the maximum number of measures which is possible to support with automatic tests.

Some measures are quite comprehensive so that the actual number of executed tests per system is beyond 100. The number of tested systems remains irrelevant for the Greenbone Security Manager.

This makes the Greenbone Security Manager the fastest co-worker for executing a IT-Grundschutz audit. And it opens the opportunity to install a check for breaches as a permanent background process.

Checking IT-Grundschutz

top^

This example executes a simple check according to the German "IT-Grundschutz-Kataloge".

  1. Import the scan configuration IT-Grundschutz Scan (13th EL)
    For verinice integration: IT-Grundschutz Scan (13. EL) incl. Discovery for verinice
    (outdated: IT-Grundschutz Scan for 12th EL), IT-Grundschutz Scan for 11th EL)

    This covers the settings to execute all of the checks. The actual checks are not explicitly selected so that rather a summary result is generated.

  2. The majority of checks for the measures is based on local security checks. For these a respective access needs to be configured. If not done yet, create a corresponding user account on the Windows systems (the higher the privileges of this user account, the more measures can be checked).

  3. Define the target systems (targets) and, if applicable, choose the respective credentials.

  4. Now you can create the actual task. This means to combine the imported scan configuration with the newly created targets.

  5. The search is started by clicking on of the respective task. It can take a while for the scan to complete. To update the view with the current progress, click on .

  6. As soon as the status changes to "Done" the complete report is available. At any time you can review the intermediate results. Please note, that for the textual form of the reports you need to enable category "Low" in the filter.

    With the imported scan configuration 2 versions of the results will be created: an overview in textual form (under "general/IT-Grundschutz") and a table for further processing (under "general/IT-Grundschutz-T"). For the latter, you need to enable category "Log" in the report filter

Import of results into a spreadsheet application

top^
  1. Choose download format "ITG" either in the report filter or in the task overview. Note: Using the report filter it is necessary to enable the category "Log".

    For this download format suitable tabular results for all target systems are automatically collected and joined.

  2. Import the ITG file as so called CSV table into your spreadsheet application.

    The example above shows a import for OpenOffice 3.2. Please take care that the following settings are adjusted for the import (if not already default):

    • Charset: UTF-8
    • Field separator: The "pipe" symbol (vertical line)
    • Text separator: The double quote
    • Last column: Type "Text"

  3. Now the scan results are available in the spreadsheet application:

  4. From this point you can create simple (like in the screenshot below) or, of course, your individual comprehensive analysis or report.

Import of results into IT-Grundschutz tools

top^

A number of tools is available to help IT-Grundschutz processes with structured approach, data entries and management.

The German federal agency for IT security (Bundesamt für Sicherheit in der Informationstechnik, BSI) offers on its website an overview on IT-Grundschutz tools.

For an import of the results of a IT-Grundschutz scan into one of these tools please contact the vendor of the corresponding tool. For additional questions please don't hesitate to contact the Greenbone Support.

Result classes of IT-Grundschutz checks

top^

The following result classes can occur for a check:

  • nicht erfüllt (FAIL): It was detected that the target system does not fulfill the measure.

  • erfüllt (OK): It was detected that the target system does fulfill the measure.

  • Fehler (ERR): It was not possible to execute the test routine properly. For example, some checks like measure M4.001 require an agent installed on the target system. If the agent is not present the check can not be executed for technical reasons. In case no credentials are provided several of the checks will have this status.

  • Prüfung für diese Maßnahme ist nicht verfügbar (NI): In general it is assumed this measure can be automatically checked for, but an implementation is not yet available. For newly released "Ergänzungslieferungen" this is initially true for a number of measures. However, the Greenbone Security Feed is updated continuously, and eventually all measures will be implemented.

  • Prüfung dieser Maßnahme ist nicht implementierbar (NA): A number of measures of the "IT-Grundschutzkataloge" are kept too general to create an explicit automatic check. Other measures describe checks that can only be done physically and thus also belong to this class of test that can't be implemented at all.

  • Prüfung für das Zielsystem nicht passend (NS): Some measures refer exclusively to a special type of operating system. If the target system runs another operating system type, the measure does not apply and the result class is set to NS.

  • Diese Maßnahme ist entfallen (DEP): Some updates ("Ergänzungslieferungen") removed some measures without a replacement. Old IDs of such deprecated measures are never re-used. So, the results marked as DEP can be safely ignored but the entries remain for completeness.

Supported measures

top^

This overview refers to the 11th Ergänzungslieferung. The measure ID's link to the corresponding detailed information available on the website of BSI.

The following test types are distinguished:

  • Remote: For the check it is only necessary to have network connection to the target system.

  • Credentials: For the check is is required to use a account on the target system.

  • Agent: For the check it is necessary to install an agent (SLAD or WinSLAD) on the target system.

TitleTest typeNote
M4.1Passwortschutz für IT-SystemeCredentialsVista und Windows 7 bei aktiviertem UAC zur Zeit noch nicht möglich.
M4.2BildschirmsperreCredentialsWindows: Kann nur für Lokale Konten getestet werden. Linux: Nur voreingestellte Bildschirmschoner bei Gnome und KDE.
M4.3Einsatz von Viren-SchutzprogrammenCredentials
M4.4Geeigneter Umgang mit Laufwerken für Wechselmedien und externen DatenspeichernCredentials
M4.5Protokollierung der TK-AdministrationsarbeitenCredentials
M4.7Änderung voreingestellter PasswörterRemoteTest nur über SSH und Telnet.
M4.9Einsatz der Sicherheitsmechanismen von XWindowCredentials
M4.14Obligatorischer Passwortschutz unter UnixCredentials
M4.15Gesichertes LoginCredentials
M4.16Zugangsbeschränkungen für Accounts und oder TerminalsCredentials
M4.17Sperren und Löschen nicht benötigter Accounts und TerminalsCredentials
M4.18Administrative und technische Absicherung des Zugangs zum Monitor- und Single-User-ModusCredentials
M4.19Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissenCredentials
M4.20Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissenCredentials
M4.21Verhinderung des unautorisierten Erlangens von AdministratorrechtenCredentials
M4.22Verhinderung des Vertraulichkeitsverlusts schutzbedürftiger Daten im Unix-SystemCredentials
M4.23Sicherer Aufruf ausführbarer DateienCredentials
M4.23Sicherer Aufruf ausführbarer DateienAgent
M4.25Einsatz der Protokollierung im Unix-SystemAgent
M4.26Regelmäßiger Sicherheitscheck des Unix-SystemsAgent
M4.33Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und DatenübertragungCredentials
M4.36Sperren bestimmter Faxempfänger- RufnummernCredentialsCisco Geräte können nur über telnet getestet werden, da sie SSH blowfish-cbc encryption nicht unterstützen.
M4.37Sperren bestimmter Absender-FaxnummernCredentialsCisco Geräte können nur über telnet getestet werden, da sie SSH blowfish-cbc encryption nicht unterstützen.
M4.40Verhinderung der unautorisierten Nutzung des RechnermikrofonsCredentialsNur für Linux Umgesetzt. Es ist unter Windows nicht möglich den Status des Microfons über Registry/WMI auszulesen.
M4.48Passwortschutz unter NT-basierten Windows-SystemenCredentials
M4.48Passwortschutz unter NT-basierten Windows-SystemenAgent
M4.49Absicherung des Boot-Vorgangs für ein NT basiertes Windows-SystemCredentials
M4.52Geräteschutz unter NT-basierten Windows-SystemenCredentials
M4.57Deaktivieren der automatischen CD-ROM ErkennungCredentials
M4.80Sichere Zugriffsmechanismen bei FernadministrationRemote
M4.93Regelmäßige IntegritätsprüfungAgent
M4.94Schutz der WWW-DateienRemote
M4.96Abschaltung von DNSCredentials
M4.97Ein Dienst pro ServerRemote
M4.98Kommunikation durch Paketfilter auf Minimum beschränkenCredentialsGetestet wird auf die Microsoft Windows Firewall. Für Vista und Windows 7 auf jegliche Firewall die sich systemkonform installiert.
M4.106Aktivieren der SystemprotokollierungCredentials
M4.135Restriktive Vergabe von Zugriffsrechten auf SystemdateienCredentials
M4.146Sicherer Betrieb von Windows 2000/XP / Sicherer Betrieb von Windows Client-BetriebssystemenAgentVista und Windows 7 bei aktiviertem UAC zur Zeit noch nicht möglich.
M4.147Sichere Nutzung von EFS unter WindowsCredentialsDie Maßnahme ist in der 11. EL technisch fehlerhaft. Eine Korrektur ist für die kommende 12. EL bereits berücksichtigt. Der Test führt abweichend von der Maßnahme den korrekten Test aus.
M4.178Absicherung der Administrator- und Benutzerkonten beim IIS-EinsatzCredentialsEs wird lediglich ein Hinweis auf SYSKEY und Passpro.exe gegeben.
M4.179Schutz von sicherheitskritischen Dateien beim IIS-EinsatzCredentials
M4.186Entfernen von Beispieldateien und Administrations-Scripts des IISCredentials
M4.189Schutz vor unzulässigen Programmaufrufen beim IIS-EinsatzCredentials
M4.190Entfernen der RDS-Unterstützung des IISCredentials
M4.192Konfiguration des Betriebssystems für einen Apache-WebserverCredentials
M4.195Konfiguration der Zugriffssteuerung beim Apache-WebserverCredentials
M4.196Sicherer Betrieb eines Apache-WebserversCredentials
M4.197Servererweiterungen für dynamische Webseiten beim Apache-WebserverCredentials
M4.200Umgang mit USB-SpeichermedienCredentials
M4.227Einsatz eines lokalen NTP-Servers zur ZeitsynchronisationCredentials
M4.238Einsatz eines lokalen PaketfiltersCredentialsGetestet wird auf die Microsoft Windows Firewall. Für Vista und Windows 7 auf jegliche Firewall die sich systemkonform installiert.
M4.244Sichere Systemkonfiguration von Windows Client-BetriebssystemenCredentials
M4.249Windows XP Systeme aktuell halten / Windows Client-Systeme aktuell haltenAgentVista und Windows 7 bei aktiviertem UAC zur Zeit noch nicht möglich.
M4.277Absicherung der SMB-, LDAP- und RPCKommunikation unter Windows Server 2003Credentials
M4.284Umgang mit Diensten unter Windows Server 2003Credentials
M4.285Deinstallation nicht benötigter Client-Funktionen von Windows Server 2003Credentials
M4.287Sichere Administration der VoIP-MiddlewareRemote
M4.288Sichere Administration von VoIP-EndgerätenAgentTest muss explizit über Voreinstellungen aktiviert werden.
M4.300Informationsschutz bei Druckern, Kopierern und MultifunktionsgerätenRemote
M4.305Einsatz von Speicherbeschränkungen (Quotas)Credentials
M4.310Einrichtung des LDAP-Zugriffs auf VerzeichnisdiensteRemote
M4.313Bereitstellung von sicheren Domänen-ControllernCredentials
M4.315Aufrechterhaltung der Betriebssicherheit von Active DirectoryAgent
M4.325Löschen von AuslagerungsdateienCredentials
M4.326Sicherstellung der NTFS-Eigenschaften auf einem Samba-DateiserverCredentials
M4.328Sichere Grundkonfiguration eines Samba-ServersCredentials
M4.331Sichere Konfiguration des Betriebssystems für einen Samba-ServerCredentials
M4.332Sichere Konfiguration der Zugriffssteuerung bei einem Samba-ServerCredentials
M4.333Sichere Konfiguration von Winbind unter SambaCredentials
M4.334SMB Message Signing und SambaCredentials
M4.338Einsatz von Windows Vista File und Registry VirtualizationCredentialsNur ein genereller Test, ob Vista File und Registry Virtualization aktiviert ist.
M4.339Verhindern unautorisierter Nutzung von Wechselmedien unter Windows VistaCredentials
M4.340Einsatz der Windows Vista Benutzerkontensteuerung - UACCredentials
M4.341Integritätsschutz unter Windows VistaCredentialsSoweit technisch möglich umgesetzt (aktiviertes UAC und geschützter Modus in verschiedenen Zonen).
M4.342Aktivierung des Last Access Zeitstempels unter Windows VistaCredentials
M4.344Überwachung eines Windows Vista SystemsCredentialsDie Maßnahme ist in der 11. EL technisch fehlerhaft. Eine Korrektur ist für die kommende 12. EL bereits berücksichtigt. Der Test führt abweichend von der Maßnahme den korrekten Test aus.
M5.8Regelmäßiger Sicherheitscheck des NetzesRemoteEs wird lediglich ein Meldung ausgegeben, dass mit aktuelleten Plugins getestet werden soll.
M5.9Protokollierung am ServerAgent
M5.17Einsatz der Sicherheitsmechanismen von NFSCredentials
M5.18Einsatz der Sicherheitsmechanismen von NISCredentials
M5.19Einsatz der Sicherheitsmechanismen von sendmailRemote
M5.19Einsatz der Sicherheitsmechanismen von sendmailCredentials
M5.20Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcpCredentials
M5.21Sicherer Einsatz von telnet, ftp, tftp und rexecCredentials
M5.34Einsatz von EinmalpasswörternCredentials
M5.37Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten NetzCredentials
M5.53Schutz vor MailbombenRemote
M5.55Kontrolle von Alias-Dateien und VerteilerlistenCredentials
M5.59Schutz vor DNS-SpoofingCredentials
M5.63Einsatz von GnuPG oder PGPCredentials
M5.64Secure ShellRemote
M5.66Verwendung von SSLRemote
M5.72Deaktivieren nicht benötigter NetzdiensteAgentLediglich Anzeige der in Frage kommenden Dienste.
M5.90Einsatz von IPSec unter WindowsCredentials
M5.91Einsatz von Personal Firewalls für Internet-PCsCredentialsGetestet wird auf die Microsoft Windows Firewall. Für Vista und Windows 7 auf jegliche Firewall die sich systemkonform installiert. Auf Linux, soweit möglich, anzeige der iptables Regeln.
M5.101Entfernen nicht benötigter ODBC-Treiber beim IIS-EinsatzCredentials
M5.102Installation von URL-Filtern beim IIS-EinsatzCredentials
M5.103Entfernen sämtlicher Netzwerkfreigaben beim IIS-EinsatzCredentials
M5.104Konfiguration des TCP/IP-Filters beim IIS EinsatzCredentials
M5.105Vorbeugen vor SYN-Attacken auf den IISCredentials
M5.107Verwendung von SSL im Apache-WebserverRemote
M5.109Einsatz eines E-Mail-Scanners auf dem MailserverRemote
M5.123Absicherung der Netzkommunikation unter WindowsCredentials
M5.131Absicherung von IP-Protokollen unter Windows Server 2003Credentials
M5.145Sicherer Einsatz von CUPSCredentials
M5.147Absicherung der Kommunikation mit VerzeichnisdienstenRemote