Task: IT-Grundschutz
With the Greenbone Security Manager it is possible to automatically check the german "IT-Grundschutz-Kataloge" as published and maintained by the Bundesamt für Sicherheit in der Informationstechnik (German Federal Office for IT Security, BSI).
Supported is the current (12th) "Ergänzungslieferung" with tests for over measures. That is the maximum number of measures which is possible to support with automatic tests.
Some measures are quite comprehensive so that the actual number of executed tests per system is beyond 100. The number of tested systems remains irrelevant for the Greenbone Security Manager.
This makes the Greenbone Security Manager the fastest co-worker for executing a IT-Grundschutz audit. And it opens the opportunity to install a check for breaches as a permanent background process.
Checking IT-Grundschutz
This example executes a simple check according to the German "IT-Grundschutz-Kataloge".
-
Import the scan configuration IT-Grundschutz Scan (12. EL)
(outdated: IT-Grundschutz Scan for 11th EL)
This covers the settings to execute all of the checks. The actual checks are not explicitly selected so that rather a summary result is generated.
-
The majority of checks for the measures is based on local security checks. For these a respective access needs to be configured. If not done yet, create a corresponding user account on the Windows systems (the higer the privileges of this user account, the more measures can be checked).
-
Define the target systems (targets) and, if applicable, choose the respective credentials.
-
Now you can create the actual task. This means to combine the imported scan configuration with the newly created targets.
-
The search is started by clicking on
of the respective task.
It can take a while for the scan to complete. To update
the view with the current progress, click on
. 
-
As soon as the status changes to "Done" the complete report is available. At any time you can review the intermediate results. Please note, that for the textual form of the reports you need to enable category "Low" in the filter.
With the imported scan configuration 2 versions of the results will be created: an overview in textual form (under "general/IT-Grundschutz") and a table for further processing (under "general/IT-Grundschutz-T"). For the latter, you need to enable category "Log" in the report filter
Import of results into a spreadsheet application
-
Choose download format "ITG" either in the report filter or in the task ovieview. Note: Using the report filter it is necessary to enable the category "Log".
For this download format suitable tabular results for all target systems are automatically collected and joined.
-
Import the ITG file as so called CSV table into your spreadsheet application.
The example above shows a import for OpenOffice 3.2. Please take care that the following settings are adjusted for the import (if not already default):
- Charset: UTF-8
- Field separator: The "pipe" symbol (vertical line)
- Text separator: The doublequote
- Last column: Type "Text"
-
Now the scan results are available in the spreadsheet application:
-
From this point you can create simple (like in the screenshot below) or, of course, your individual comprehensive analysis or report.
Import of results into IT-Grundschutz tools
A number of tools is available to help IT-Grundschutz processes with structured approach, data entries and management.
The german federal agency for IT security (Bundesamt für Sicherheit in der Informationstechnik, BSI) offers on its website an overview on IT-Grundschutz tools.
For an import of the results of a IT-Grundschutz scan into one of these tools please contact the vendor of the corresponding tool. For additional questions please don't hesitate to contact the Greenbone Support.
Result classes of IT-Grundschutz checks
The following result classes can occur for a check:
-
nicht erfüllt (FAIL): It was detected that the target system does not fulfill the measure.
-
erfüllt (OK): It was detected that the target system does fulfill the measure.
-
Fehler (ERR): It was not possible to execute the test routine properly. For example, some checks like measure M4.001 require an agent installed on the target system. If the agent is not present the check can not be executed for technical reasons. In case no credentials are provided several of the checks will have this status.
-
Prüfung für diese Maßnahme ist nicht verfügbar (NI): In general it is assumed this measure can be automatically checked for, but an implementation is not yet available. For newly released "Ergänzungslieferungen" this is initially true for a number of measures. However, the Greenbone Security Feed is updated continuously, and eventually all measures will be implemented.
-
Prüfung dieser Maßnahme ist nicht implementierbar (NA): A number of measures of the "IT-Grundschutzkataloge" are kept too general to create an explicit automatic check. Other measures describe checks that can only be done physically and thus also belong to this class of test that can't be implemented at all.
-
Prüfung für das Zielsystem nicht passend (NS): Some measures refer exclusively to a special type of operating system. If the target system runs another operating system type, the measure does not apply and the result class is set to NS.
-
Diese Maßnahme ist entfallen (DEP): Some updates ("Ergänzungslieferungen") removed some measures without a replacement. Old IDs of such deprecated measures are never re-used. So, the results marked as DEP can be savely ignored but the entries remain for completeness.
Supported measures
This overview refers to the 11th Ergänzungslieferung. The measure ID's link to the corresponding detailed information available on the website of BSI.
The following test types are distinguished:
-
Remote: For the check it is only necessary to have network connection to the target system.
-
Credentials: For the check is is required to use a account on the target system.
-
Agent: For the check it is necessary to install an agent (SLAD or WinSLAD) on the target system.
| Title | Test type | Note | |
| M4.1 | Passwortschutz für IT-Systeme | Credentials | Vista und Windows 7 bei aktiviertem UAC zur Zeit noch nicht möglich. |
| M4.2 | Bildschirmsperre | Credentials | Windows: Kann nur für Lokale Konten getestet werden. Linux: Nur voreingestellte Bildschirmschoner bei Gnome und KDE. |
| M4.3 | Einsatz von Viren-Schutzprogrammen | Credentials | |
| M4.4 | Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern | Credentials | |
| M4.5 | Protokollierung der TK-Administrationsarbeiten | Credentials | |
| M4.7 | Änderung voreingestellter Passwörter | Remote | Test nur über SSH und Telnet. |
| M4.9 | Einsatz der Sicherheitsmechanismen von XWindow | Credentials | |
| M4.14 | Obligatorischer Passwortschutz unter Unix | Credentials | |
| M4.15 | Gesichertes Login | Credentials | |
| M4.16 | Zugangsbeschränkungen für Accounts und oder Terminals | Credentials | |
| M4.17 | Sperren und Löschen nicht benötigter Accounts und Terminals | Credentials | |
| M4.18 | Administrative und technische Absicherung des Zugangs zum Monitor- und Single-User-Modus | Credentials | |
| M4.19 | Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen | Credentials | |
| M4.20 | Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissen | Credentials | |
| M4.21 | Verhinderung des unautorisierten Erlangens von Administratorrechten | Credentials | |
| M4.22 | Verhinderung des Vertraulichkeitsverlusts schutzbedürftiger Daten im Unix-System | Credentials | |
| M4.23 | Sicherer Aufruf ausführbarer Dateien | Credentials | |
| M4.23 | Sicherer Aufruf ausführbarer Dateien | Agent | |
| M4.25 | Einsatz der Protokollierung im Unix-System | Agent | |
| M4.26 | Regelmäßiger Sicherheitscheck des Unix-Systems | Agent | |
| M4.33 | Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung | Credentials | |
| M4.36 | Sperren bestimmter Faxempfänger- Rufnummern | Credentials | Cisco Geräte können nur über telnet getestet werden, da sie SSH blowfish-cbc encryption nicht unterstützen. |
| M4.37 | Sperren bestimmter Absender-Faxnummern | Credentials | Cisco Geräte können nur über telnet getestet werden, da sie SSH blowfish-cbc encryption nicht unterstützen. |
| M4.40 | Verhinderung der unautorisierten Nutzung des Rechnermikrofons | Credentials | Nur für Linux Umgesetzt. Es ist unter Windows nicht möglich den Status des Microfons über Registry/WMI auszulesen. |
| M4.48 | Passwortschutz unter NT-basierten Windows-Systemen | Credentials | |
| M4.48 | Passwortschutz unter NT-basierten Windows-Systemen | Agent | |
| M4.49 | Absicherung des Boot-Vorgangs für ein NT basiertes Windows-System | Credentials | |
| M4.52 | Geräteschutz unter NT-basierten Windows-Systemen | Credentials | |
| M4.57 | Deaktivieren der automatischen CD-ROM Erkennung | Credentials | |
| M4.80 | Sichere Zugriffsmechanismen bei Fernadministration | Remote | |
| M4.93 | Regelmäßige Integritätsprüfung | Agent | |
| M4.94 | Schutz der WWW-Dateien | Remote | |
| M4.96 | Abschaltung von DNS | Credentials | |
| M4.97 | Ein Dienst pro Server | Remote | |
| M4.98 | Kommunikation durch Paketfilter auf Minimum beschränken | Credentials | Getestet wird auf die Microsoft Windows Firewall. Für Vista und Windows 7 auf jegliche Firewall die sich systemkonform installiert. |
| M4.106 | Aktivieren der Systemprotokollierung | Credentials | |
| M4.135 | Restriktive Vergabe von Zugriffsrechten auf Systemdateien | Credentials | |
| M4.146 | Sicherer Betrieb von Windows 2000/XP / Sicherer Betrieb von Windows Client-Betriebssystemen | Agent | Vista und Windows 7 bei aktiviertem UAC zur Zeit noch nicht möglich. |
| M4.147 | Sichere Nutzung von EFS unter Windows | Credentials | Die Maßnahme ist in der 11. EL technisch fehlerhaft. Eine Korrektur ist für die kommende 12. EL bereits berücksichtigt. Der Test führt abweichend von der Maßnahme den korrekten Test aus. |
| M4.178 | Absicherung der Administrator- und Benutzerkonten beim IIS-Einsatz | Credentials | Es wird ledliglich ein Hinweis auf SYSKEY und Passpro.exe gegeben. |
| M4.179 | Schutz von sicherheitskritischen Dateien beim IIS-Einsatz | Credentials | |
| M4.186 | Entfernen von Beispieldateien und Administrations-Scripts des IIS | Credentials | |
| M4.189 | Schutz vor unzulässigen Programmaufrufen beim IIS-Einsatz | Credentials | |
| M4.190 | Entfernen der RDS-Unterstützung des IIS | Credentials | |
| M4.192 | Konfiguration des Betriebssystems für einen Apache-Webserver | Credentials | |
| M4.195 | Konfiguration der Zugriffssteuerung beim Apache-Webserver | Credentials | |
| M4.196 | Sicherer Betrieb eines Apache-Webservers | Credentials | |
| M4.197 | Servererweiterungen für dynamische Webseiten beim Apache-Webserver | Credentials | |
| M4.200 | Umgang mit USB-Speichermedien | Credentials | |
| M4.227 | Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation | Credentials | |
| M4.238 | Einsatz eines lokalen Paketfilters | Credentials | Getestet wird auf die Microsoft Windows Firewall. Für Vista und Windows 7 auf jegliche Firewall die sich systemkonform installiert. |
| M4.244 | Sichere Systemkonfiguration von Windows Client-Betriebssystemen | Credentials | |
| M4.249 | Windows XP Systeme aktuell halten / Windows Client-Systeme aktuell halten | Agent | Vista und Windows 7 bei aktiviertem UAC zur Zeit noch nicht möglich. |
| M4.277 | Absicherung der SMB-, LDAP- und RPCKommunikation unter Windows Server 2003 | Credentials | |
| M4.284 | Umgang mit Diensten unter Windows Server 2003 | Credentials | |
| M4.285 | Deinstallation nicht benötigter Client-Funktionen von Windows Server 2003 | Credentials | |
| M4.287 | Sichere Administration der VoIP-Middleware | Remote | |
| M4.288 | Sichere Administration von VoIP-Endgeräten | Agent | Test muss explizit über Voreinstellungen aktiviert werden. |
| M4.300 | Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten | Remote | |
| M4.305 | Einsatz von Speicherbeschränkungen (Quotas) | Credentials | |
| M4.310 | Einrichtung des LDAP-Zugriffs auf Verzeichnisdienste | Remote | |
| M4.313 | Bereitstellung von sicheren Domänen-Controllern | Credentials | |
| M4.315 | Aufrechterhaltung der Betriebssicherheit von Active Directory | Agent | |
| M4.325 | Löschen von Auslagerungsdateien | Credentials | |
| M4.326 | Sicherstellung der NTFS-Eigenschaften auf einem Samba-Dateiserver | Credentials | |
| M4.328 | Sichere Grundkonfiguration eines Samba-Servers | Credentials | |
| M4.331 | Sichere Konfiguration des Betriebssystems für einen Samba-Server | Credentials | |
| M4.332 | Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server | Credentials | |
| M4.333 | Sichere Konfiguration von Winbind unter Samba | Credentials | |
| M4.334 | SMB Message Signing und Samba | Credentials | |
| M4.338 | Einsatz von Windows Vista File und Registry Virtualization | Credentials | Nur ein genereller Test, ob Vista File und Registry Virtualization aktiviert ist. |
| M4.339 | Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista | Credentials | |
| M4.340 | Einsatz der Windows Vista Benutzerkontensteuerung - UAC | Credentials | |
| M4.341 | Integritätsschutz unter Windows Vista | Credentials | Soweit technisch möglich umgesetzt (aktiviertes UAC und geschützter Modus in verschiedenen Zonen). |
| M4.342 | Aktivierung des Last Access Zeitstempels unter Windows Vista | Credentials | |
| M4.344 | Überwachung eines Windows Vista Systems | Credentials | Die Maßnahme ist in der 11. EL technisch fehlerhaft. Eine Korrektur ist für die kommende 12. EL bereits berücksichtigt. Der Test führt abweichend von der Maßnahme den korrekten Test aus. |
| M5.8 | Regelmäßiger Sicherheitscheck des Netzes | Remote | Es wird lediglich ein Meldung ausgegeben, dass mit aktuelleten Plugins getestet werden soll. |
| M5.9 | Protokollierung am Server | Agent | |
| M5.17 | Einsatz der Sicherheitsmechanismen von NFS | Credentials | |
| M5.18 | Einsatz der Sicherheitsmechanismen von NIS | Credentials | |
| M5.19 | Einsatz der Sicherheitsmechanismen von sendmail | Remote | |
| M5.19 | Einsatz der Sicherheitsmechanismen von sendmail | Credentials | |
| M5.20 | Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp | Credentials | |
| M5.21 | Sicherer Einsatz von telnet, ftp, tftp und rexec | Credentials | |
| M5.34 | Einsatz von Einmalpasswörtern | Credentials | |
| M5.37 | Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz | Credentials | |
| M5.53 | Schutz vor Mailbomben | Remote | |
| M5.55 | Kontrolle von Alias-Dateien und Verteilerlisten | Credentials | |
| M5.59 | Schutz vor DNS-Spoofing | Credentials | |
| M5.63 | Einsatz von GnuPG oder PGP | Credentials | |
| M5.64 | Secure Shell | Remote | |
| M5.66 | Verwendung von SSL | Remote | |
| M5.72 | Deaktivieren nicht benötigter Netzdienste | Agent | Lediglich Anzeige der in Frage kommenden Dienste. |
| M5.90 | Einsatz von IPSec unter Windows | Credentials | |
| M5.91 | Einsatz von Personal Firewalls für Internet-PCs | Credentials | Getestet wird auf die Microsoft Windows Firewall. Für Vista und Windows 7 auf jegliche Firewall die sich systemkonform installiert. Auf Linux, soweit möglich, anzeige der iptables Regeln. |
| M5.101 | Entfernen nicht benötigter ODBC-Treiber beim IIS-Einsatz | Credentials | |
| M5.102 | Installation von URL-Filtern beim IIS-Einsatz | Credentials | |
| M5.103 | Entfernen sämtlicher Netzwerkfreigaben beim IIS-Einsatz | Credentials | |
| M5.104 | Konfiguration des TCP/IP-Filters beim IIS Einsatz | Credentials | |
| M5.105 | Vorbeugen vor SYN-Attacken auf den IIS | Credentials | |
| M5.107 | Verwendung von SSL im Apache-Webserver | Remote | |
| M5.109 | Einsatz eines E-Mail-Scanners auf dem Mailserver | Remote | |
| M5.123 | Absicherung der Netzkommunikation unter Windows | Credentials | |
| M5.131 | Absicherung von IP-Protokollen unter Windows Server 2003 | Credentials | |
| M5.145 | Sicherer Einsatz von CUPS | Credentials | |
| M5.147 | Absicherung der Kommunikation mit Verzeichnisdiensten | Remote |