Login: Support | Partner    
Home » Task: IT-Grundschutz 

Task: IT-Grundschutz

ATTENTION: This page is not maintained anymore and will eventually be removed.
The current state can be found in the Online Version of the GSM user manual at the TechDoc portal.

With the Greenbone Security Manager it is possible to automatically check the German "IT-Grundschutz-Kataloge" as published and maintained by the Bundesamt für Sicherheit in der Informationstechnik (German Federal Office for IT Security, BSI).

Supported is always the current "Ergänzungslieferung" with tests for over 80 measures. That is the maximum number of measures which is possible to support with automatic tests.

Some measures are quite comprehensive so that and actually consist of several single tests. A couple of measures address a specific operating system ans hence will only be applied to those. The number and type of tested systems remains irrelevant for the Greenbone Security Manager.

This makes the Greenbone Security Manager the fastest co-worker for executing a IT-Grundschutz audit. And it opens the opportunity to install a check for breaches as a permanent background process.

Checking IT-Grundschutz


This example executes a simple check according to the German "IT-Grundschutz-Kataloge".

  1. Import the scan configuration IT-Grundschutz Scan
    For verinice integration: IT-Grundschutz Scan incl. Discovery for verinice

    This covers the settings to execute all of the checks. The actual checks are not explicitly selected so that rather a summary result is generated.

  2. The majority of checks for the measures is based on local security checks. For these a respective access needs to be configured. If not done yet, create a corresponding user account on the Windows systems (the higher the privileges of this user account, the more measures can be checked).

  3. Define the target systems (targets) and, if applicable, choose the respective credentials.

  4. Now you can create the actual task. This means to combine the imported scan configuration with the newly created targets.

  5. The search is started by clicking on of the respective task. It can take a while for the scan to complete. To update the view with the current progress, click on .

  6. As soon as the status changes to "Done" the complete report is available. At any time you can review the intermediate results. Please note, that for the textual form of the reports you need to enable category "Low" in the filter.

    With the imported scan configuration 2 versions of the results will be created: an overview in textual form (under "general/IT-Grundschutz") and a table for further processing (under "general/IT-Grundschutz-T"). For the latter, you need to enable category "Log" in the report filter

Import of results into a spreadsheet application

  1. Choose download format "ITG" either in the report filter or in the task overview. Note: Using the report filter it is necessary to enable the category "Log".

    For this download format suitable tabular results for all target systems are automatically collected and joined.

  2. Import the ITG file as so called CSV table into your spreadsheet application.

    The example above shows a import for OpenOffice 3.2. Please take care that the following settings are adjusted for the import (if not already default):

    • Charset: UTF-8
    • Field separator: The "pipe" symbol (vertical line)
    • Text separator: The double quote
    • Last column: Type "Text"

  3. Now the scan results are available in the spreadsheet application:

  4. From this point you can create simple (like in the screenshot below) or, of course, your individual comprehensive analysis or report.

Import of results into IT-Grundschutz tools


A number of tools is available to help IT-Grundschutz processes with structured approach, data entries and management.

The German federal agency for IT security (Bundesamt für Sicherheit in der Informationstechnik, BSI) offers on its website an overview on IT-Grundschutz tools.

For an import of the results of a IT-Grundschutz scan into one of these tools please contact the vendor of the corresponding tool. For additional questions please don't hesitate to contact the Greenbone Support.

Result classes of IT-Grundschutz checks


The following result classes can occur for a check:

  • nicht erfüllt (FAIL): It was detected that the target system does not fulfill the measure.

  • erfüllt (OK): It was detected that the target system does fulfill the measure.

  • Fehler (ERR): It was not possible to execute the test routine properly. For example, some checks require credentials. If the credentials are missing, the check can not be executed for technical reasons. In case no credentials are provided many of the checks will have this status.

  • Prüfung für diese Maßnahme ist nicht verfügbar (NI): In general it is assumed this measure can be automatically checked for, but an implementation is not yet available. For newly released "Ergänzungslieferungen" this is initially true for a number of measures. However, the Greenbone Security Feed is updated continuously, and eventually all measures will be implemented.

  • Prüfung dieser Maßnahme ist nicht implementierbar (NA): A number of measures of the "IT-Grundschutzkataloge" are kept too general to create an explicit automatic check. Other measures describe checks that can only be done physically and thus also belong to this class of test that can't be implemented at all.

  • Prüfung für das Zielsystem nicht passend (NS): Some measures refer exclusively to a special type of operating system. If the target system runs another operating system type, the measure does not apply and the result class is set to NS.

  • Diese Maßnahme ist entfallen (DEP): Some updates ("Ergänzungslieferungen") removed some measures without a replacement. Old IDs of such deprecated measures are never re-used. So, the results marked as DEP can be safely ignored but the entries remain for completeness.

Supported measures


This overview refers to the current Ergänzungslieferung. The measure ID's link to the corresponding detailed information available on the website of BSI.

The following test types are distinguished:

  • Remote: For the check it is only necessary to have network connection to the target system.

  • Credentials: For the check is is required to use a account on the target system.

TitleTest typeNote
M4.2BildschirmsperreCredentialsWindows: Kann nur für Lokale Konten getestet werden. Linux: Nur voreingestellte Bildschirmschoner bei Gnome und KDE.
M4.3Einsatz von Viren-SchutzprogrammenCredentials
M4.4Geeigneter Umgang mit Laufwerken für Wechselmedien und externen DatenspeichernCredentials
M4.5Protokollierung bei TK-AnlagenCredentials
M4.7Änderung voreingestellter PasswörterRemoteTest nur über SSH und Telnet.
M4.9Einsatz der Sicherheitsmechanismen von XWindowCredentials
M4.14Obligatorischer Passwortschutz unter UnixCredentials
M4.15Gesichertes LoginCredentials
M4.16Zugangsbeschränkungen für Benutzer-Kennungen und / oder TerminalsCredentials
M4.17Sperren und Löschen nicht benötigter Accounts und TerminalsCredentials
M4.18Administrative und technische Absicherung des Zugangs zum Monitor- und Single-User-ModusCredentials
M4.19Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissenCredentials
M4.20Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissenCredentials
M4.21Verhinderung des unautorisierten Erlangens von AdministratorrechtenCredentials
M4.22Verhinderung des Vertraulichkeitsverlusts schutzbedürftiger Daten im Unix-SystemCredentials
M4.23Sicherer Aufruf ausführbarer DateienCredentials
M4.33Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und DatenübertragungCredentials
M4.36Sperren bestimmter Faxempfänger- RufnummernCredentialsCisco Geräte können nur über telnet getestet werden, da sie SSH blowfish-cbc encryption nicht unterstützen.
M4.37Sperren bestimmter Absender-FaxnummernCredentialsCisco Geräte können nur über telnet getestet werden, da sie SSH blowfish-cbc encryption nicht unterstützen.
M4.40Verhinderung der unautorisierten Nutzung des RechnermikrofonsCredentialsNur für Linux Umgesetzt. Es ist unter Windows nicht möglich den Status des Microfons über Registry/WMI auszulesen.
M4.48Passwortschutz unter Windows-SystemenCredentials
M4.49Absicherung des Boot-Vorgangs für ein Windows SystemCredentials
M4.52Geräteschutz unter NT-basierten Windows-SystemenCredentials
M4.57Deaktivieren der automatischen CD-ROM ErkennungCredentials
M4.80Sichere Zugriffsmechanismen bei FernadministrationRemote
M4.94Schutz der Webserver-DateienRemote
M4.96Abschaltung von DNSCredentials
M4.97Ein Dienst pro ServerRemote
M4.98Kommunikation durch Paketfilter auf Minimum beschränkenCredentialsGetestet wird auf die Microsoft Windows Firewall. Für Vista und neuer auf jegliche Firewall die sich systemkonform installiert.
M4.106Aktivieren der SystemprotokollierungCredentials
M4.135Restriktive Vergabe von Zugriffsrechten auf SystemdateienCredentials
M4.147Sichere Nutzung von EFS unter WindowsCredentials
M4.200Umgang mit USB-SpeichermedienCredentials
M4.227Einsatz eines lokalen NTP-Servers zur ZeitsynchronisationCredentials
M4.238Einsatz eines lokalen PaketfiltersCredentialsGetestet wird auf die Microsoft Windows Firewall. Für Vista und neuer auf jegliche Firewall die sich systemkonform installiert.
M4.244Sichere Systemkonfiguration von Windows Client-BetriebssystemenCredentials
M4.277Absicherung der SMB-, LDAP- und RPCKommunikation unter Windows ServernCredentials
M4.284Umgang mit Diensten unter Windows Server 2003Credentials
M4.285Deinstallation nicht benötigter Client-Funktionen von Windows Server 2003Credentials
M4.287Sichere Administration der VoIP-MiddlewareRemote
M4.300Informationsschutz bei Druckern, Kopierern und MultifunktionsgerätenRemote
M4.305Einsatz von Speicherbeschränkungen (Quotas)Credentials
M4.310Einrichtung des LDAP-Zugriffs auf VerzeichnisdiensteRemote
M4.313Bereitstellung von sicheren Domänen-ControllernCredentials
M4.325Löschen von AuslagerungsdateienCredentials
M4.326Sicherstellung der NTFS-Eigenschaften auf einem Samba-DateiserverCredentials
M4.328Sichere Grundkonfiguration eines Samba-ServersCredentials
M4.331Sichere Konfiguration des Betriebssystems für einen Samba-ServerCredentials
M4.332Sichere Konfiguration der Zugriffssteuerung bei einem Samba-ServerCredentials
M4.333Sichere Konfiguration von Winbind unter SambaCredentials
M4.334SMB Message Signing und SambaCredentials
M4.338Einsatz von Windows Vista und neuer File und Registry VirtualizationCredentialsNur ein genereller Test, ob File und Registry Virtualization aktiviert ist.
M4.339Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista und neuerCredentials
M4.340Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows VistaCredentials
M4.341Integritätsschutz ab Windows VistaCredentialsSoweit technisch möglich umgesetzt (aktiviertes UAC und geschützter Modus in verschiedenen Zonen).
M4.342Aktivierung des Last Access Zeitstempels ab Windows VistaCredentials
M4.344Überwachung von Windows Vista-, Windows 7 und Windows Server 2008-SystemenCredentials
M4.368Regelmäßige Audits der Terminalserver-UmgebungCredentials
M5.8Regelmäßiger Sicherheitscheck des NetzesRemoteEs wird lediglich ein Meldung ausgegeben, dass mit aktuelleten Plugins getestet werden soll.
M5.17Einsatz der Sicherheitsmechanismen von NFSCredentials
M5.18Einsatz der Sicherheitsmechanismen von NISCredentials
M5.19Einsatz der Sicherheitsmechanismen von sendmailRemote
M5.19Einsatz der Sicherheitsmechanismen von sendmailCredentials
M5.20Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcpCredentials
M5.21Sicherer Einsatz von telnet, ftp, tftp und rexecCredentials
M5.34Einsatz von EinmalpasswörternCredentials
M5.59Schutz vor DNS-Spoofing bei AuthentisierungsmechanismenCredentials
M5.63Einsatz von GnuPG oder PGPCredentials
M5.64Secure ShellRemote
M5.66Verwendung von TLS/SSLRemote
M5.72Deaktivieren nicht benötigter NetzdiensteCredentialsLediglich Anzeige der in Frage kommenden Dienste.
M5.90Einsatz von IPSec unter WindowsCredentials
M5.91Einsatz von Personal Firewalls für ClientsCredentialsGetestet wird auf die Microsoft Windows Firewall. Für Vista und neuer auf jegliche Firewall die sich systemkonform installiert. Auf Linux, soweit möglich, anzeige der iptables Regeln.
M5.109Einsatz eines E-Mail-Scanners auf dem MailserverRemote
M5.123Absicherung der Netzkommunikation unter WindowsCredentials
M5.131Absicherung von IP-Protokollen unter Windows Server 2003Credentials
M5.145Sicherer Einsatz von CUPSCredentials
M5.147Absicherung der Kommunikation mit VerzeichnisdienstenRemote