BSI-Audit in 30 Minuten — Schritt-für-Schritt
Wenn der nächste Versicherer-Fragebogen, ISO-27001-Pre-Audit oder die jährliche BSI-Bestandsaufnahme ansteht, beginnen die meisten KMU-Admins mit einem leeren Excel-Sheet und ein paar PowerShell-Skripten. Das funktioniert — dauert aber 1–2 Tage. Hier ist der schnellere Weg: ein Audit nach BSI-Grundschutz in unter 30 Minuten, von der ersten Scan-Eingabe bis zum fertigen PDF-Bericht.
Was Sie in 30 Minuten erreichen — und was nicht
Diese Anleitung deckt die technische Inventur ab: vollständiges Inventar von Hosts, Software, Active-Directory-Objekten, Server-Rollen, SMB- und NFS-Shares — und einen automatischen BSI-Grundschutz-Heuristik-Bericht. Was sie nicht ersetzt: organisatorische BSI-Bausteine wie ISMS-Aufbau, Notfallvorsorge, Mitarbeiter-Schulungen oder eine vollständige Risikoanalyse nach BSI-Standard 200-2. Dafür liefert sie aber die belastbare Datengrundlage, die jeder Auditor zuerst sehen will.
Was Sie vorher brauchen
- Eine Windows- oder Linux-Maschine im Audit-Netz mit lokalem Admin-Recht.
- Einen lesenden AD-Service-Account (siehe unser AD-Audit-Guide).
- Optional: Lokale Admin-Anmeldedaten für Software-Inventar via WMI/CIM (Service-Account, das per GPO auf alle Hosts verteilt ist).
- ITscanner installiert (Windows-Setup oder Linux .deb / tar.gz; ca. 5 Minuten Setup).
Die 5 Schritte
1 Audit-Workstation vorbereiten (5 Min.)
Wenn Sie ITscanner zum ersten Mal nutzen, laden Sie das Windows-Setup oder Linux-Paket herunter. Die Installation richtet automatisch einen lokalen Dienst auf Port 8585 ein, der die Web-Oberfläche bereitstellt.
Auf der Workstation, die das Audit fährt, aktivieren Sie das Windows-Feature „Services for NFS" — sonst werden NFS-Shares zwar als Port erkannt, die Mount-Liste aber nicht ausgelesen:
Enable-WindowsOptionalFeature -Online -FeatureName NFS-Administration -All -NoRestart
Enable-WindowsOptionalFeature -Online -FeatureName ServicesForNFS-ServerAndClient -All2 Verbindungen konfigurieren (5 Min.)
Im Tab „Einstellungen → Verbindungen" hinterlegen Sie:
- AD-Verbindung: Domain-Controller, Bind-DN (z. B.
audit-readonly@example.local) und Passwort des Service-Accounts. - WMI-Anmeldedaten: Lokale Admin-Credentials für die Hosts, die Sie inventarisieren wollen.
- Subnetze: Welche IP-Bereiche sollen gescannt werden? (z. B.
192.168.10.0/24, 192.168.20.0/24)
Drücken Sie pro Verbindung den Test-Knopf. Wenn alle drei grün sind, weiter zu Schritt 3.
3 Scan-Job starten (10 Min.)
Im Tab „Scan-Ziele" klicken Sie auf „Neuer Scan-Job", wählen Scan-Typ „Vollständig", geben die Subnetze an und starten den Scan. Während er läuft, sehen Sie im Log-Tab live, welche Hosts gerade abgegriffen werden.
Typische Laufzeit für 50–200 Hosts: 8–15 Minuten. Bei großen Netzen oder langsamen WMI-Abfragen kann es länger dauern; ITscanner schreibt nach jedem Host inkrementell in die Datenbank, sodass auch ein abgebrochener Scan verwertbare Daten enthält.
Tipp: Wenn der Scan länger als erwartet hängt, prüfen Sie im Tab „Hosts" welcher Host gerade in Bearbeitung ist. Hängt es immer beim selben Host, ist das oft ein WMI-blockierter Server (Firewall RPC-Ports 135 + 49152-65535) oder ein End-of-Life-OS, das WMI nicht mehr korrekt unterstützt.
4 Ergebnisse durchgehen (5 Min.)
Nach Abschluss des Scans öffnen Sie der Reihe nach diese Tabs:
- Dashboard — Überblick: Anzahl Hosts, OS-Verteilung, Top-Software, Anzahl AD-Objekte.
- Hosts — Detail pro Gerät: OS-Version, Build, IP, Hostname, Domain, MAC.
- Software — Inventar gruppiert nach Anwendung; Excel-Export für Lizenz-Management.
- Active Directory — User, Gruppen, OUs, GPOs.
- Server-Rollen — DCs, DNS, DHCP, IIS, Hyper-V, File-Server, SQL Server.
- Freigaben — SMB-Shares mit ACL plus NFS-Shares ab v2.08.11.
- BSI-Checks — automatisch gefundene Befunde: EOL-OS, offene RDP-Ports, fehlende Backup-Software, Single-DC-Risiko.
5 BSI-Bericht generieren (5 Min.)
Im Tab „Berichte" klicken Sie auf „BSI-Grundschutz-Bericht generieren". Der Bericht enthält:
- Deckblatt mit Auftraggeber-Daten (Sie können Ihre Firma + Kundenname eintragen).
- Management-Summary: Anzahl Hosts, kritische Befunde, Verteilung der Risikostufen.
- Befund-Liste mit Bezug auf BSI-Bausteine (z. B. „OPS.1.1.3 — Patchen: 3 EOL-Systeme").
- Anhang: vollständige Inventarliste, AD-Auszug, Server-Rollen-Übersicht.
Format: PDF oder DOCX. Der DOCX-Export ist hilfreich, wenn Sie Befunde redaktionell anpassen oder mit Maßnahmenplan ergänzen wollen.
Nach dem Scan: Was tun mit den Befunden?
Drucken Sie unsere kostenlose BSI-Grundschutz-Checkliste (PDF) aus und gehen Sie sie Punkt für Punkt mit den Scan-Ergebnissen durch. Etwa 25 von 60 Punkten lassen sich direkt aus den ITscanner-Daten beantworten. Die übrigen 35 (Organisation, Notfallvorsorge, Mitarbeiter-Schulung) erfordern Gespräche mit dem Management und Schulungs-Nachweise.
Wie oft sollten Sie das Audit wiederholen?
- Mindestens jährlich — als Pflichtpunkt im Sicherheitskonzept.
- Nach größeren Infrastruktur-Änderungen — neue Standorte, Umzüge, größere Releases.
- Vor jedem externen Audit (Versicherer, Auditor, ISO-Pre-Audit) — als interne Validierung.
- Vor und nach Cyber-Incidents — vor: damit Sie wissen, was im Netz steht; nach: um Veränderungen zu erkennen.
Was ITscanner im Audit nicht liefert
Wir wollen ehrlich sein: ITscanner ist ein Inventur- und Audit-Tool, kein Vulnerability-Scanner. Die folgenden Punkte deckt es bewusst nicht ab:
- Live-Schwachstellen-Erkennung (CVE-Matching pro installierter Version) — dafür greifen Sie zu OpenVAS, Nessus oder Qualys.
- Penetration-Testing — gehört in einen separaten Auftrag und wird typischerweise jährlich extern beauftragt.
- Kontinuierliches Network-Monitoring — Auvik, PRTG oder Checkmk sind dafür die besseren Werkzeuge.
Audit jetzt starten — kostenlos für 14 Tage
Vollständige Funktionen, kein Asset-Limit, keine Kreditkarte. Nach dem Trial: 49,50 € netto/Jahr Flat-Rate.
ITscanner herunterladen BSI-Checkliste (PDF) gratis