BSI-Grundschutz-Tool für KMU: Was wirklich gefordert ist
Wer nach BSI-Grundschutz-Tool googelt, findet Marketing-Aussagen ohne klare Kriterien. Wir gehen die BSI-Bausteine durch und zeigen, welche Anforderungen ein Inventar-Tool praktisch erfüllen muss — und welche darüber hinausgehen.
Was BSI-Grundschutz für KMU wirklich vorschreibt
Das IT-Grundschutz-Kompendium des BSI ist 2.500+ Seiten lang. Für KMU (typischerweise „kleine Standard-Absicherung") relevant sind etwa 35 Bausteine — Prozesse + Systeme. Davon erfordern eine technische Datengrundlage:
- ISMS.1 — Sicherheitsmanagement: Inventarisierung als Basis.
- ORP.4 — Identitäts- und Berechtigungsmanagement: Benutzer- und Gruppen-Audit.
- OPS.1.1.3 — Patchmanagement: EOL-Erkennung, Software-Inventar.
- OPS.1.1.5 — Protokollierung: Audit-Log mit definierten Action-IDs.
- APP.4.4 — Schwachstellenmanagement: CVE-Erkennung, Priorisierung.
- SYS.1.2.x — Windows-Server: Server-Rollen-Inventar.
- SYS.2.x — Clients: Software-Stand, Patches.
- NET.1.1 — Netzplan: Subnetz- und Routing-Übersicht.
Diese acht Bausteine sind die typischen Top-3-Audit-Schwerpunkte bei Versicherer-Fragebögen und Pre-Audits.
Was ein BSI-Tool technisch leisten muss
Aus den Bausteinen ergeben sich konkrete technische Anforderungen:
1. Vollständigkeit der Inventur
Alle Hosts im Netzwerk müssen erfasst sein — nicht nur die im DHCP-Pool. Subnetz-Sweep + AD-Cross-Reference ist der Goldstandard. Server-Hosts müssen mit Rolle (DC, DNS, DHCP, IIS, ...) ausgewiesen werden.
2. AD-Audit ohne RSAT
Auditoren erwarten eine Liste aller User, Gruppen, OUs, GPOs. Das Tool muss nativ LDAP sprechen — nicht über das veraltete RSAT-Modul, das oft fehlt oder Lese-Rechte auf den Audit-Workstation braucht.
3. EOL-Erkennung
Windows 7, Server 2012 R2, Windows 8 — End-of-Life-Systeme müssen automatisch erkannt und im Bericht hervorgehoben sein. Manuelles Aussuchen aus einer Liste reicht nicht.
4. Audit-Log nach ORP.4
Das Tool selbst muss seine Aktivitäten protokollieren — Login-Versuche, Konfig-Änderungen, Berichts-Generierung, Daten-Exports. Mit Hash-Verkettung, damit Manipulation auffällt.
5. Export-Formate
PDF für Auditoren (drucken, signieren), DOCX zum Editieren, JSON/CSV zum Weiterverarbeiten. Excel-Export als Bonus.
6. DSGVO-Konformität
Wenn das Tool personenbezogene Daten verarbeitet (AD-Usernamen!), muss es DSGVO Art. 5 und Art. 32 entsprechen. Lokale Verarbeitung ohne Cloud ist der einfachste Weg dorthin.
Tool-Vergleich: Welche erfüllen die Anforderungen?
| Anforderung | ITscanner | Docusnap | Lansweeper | LOGINventory |
|---|---|---|---|---|
| Vollständige Inventur | ✅ | ✅ | ✅ | ✅ |
| AD ohne RSAT | ✅ | ✅ | ✅ | Teilweise |
| EOL-Erkennung automatisch | ✅ | ✅ | Manuell | Manuell |
| Audit-Log nach ORP.4 | ✅ | Teilweise | Teilweise | Manuell |
| BSI-Bericht-Generator | ✅ | ✅ Premium | Manuell | Manuell |
| CVE-Scanner | ✅ | ❌ | Add-on | ❌ |
| DSGVO ohne AVV | ✅ | ✅ | Teils | ✅ |
| Cloud-Pflicht | ❌ | ❌ | Tendenz ja | ❌ |
| Preis (KMU 100 Geräte) | 49,50 € | 1.500-2.500 € | 1.500-2.500 € | 800-1.200 € |
Was Auditoren wirklich sehen wollen
Wir haben mit drei BSI-Auditoren gesprochen, die regelmäßig KMU-Audits fahren. Ihre Top-Punkte:
- „Zeigen Sie mir die Liste aller Server mit OS-Version und letzten Sicherheits-Patch-Stand." — Ein simples PDF mit dieser Tabelle reicht oft schon, um BSI-Tier1 zu bestehen.
- „Welche Benutzer im AD sind seit über 6 Monaten inaktiv?" — Klassische Frage zu ORP.4. Das Tool muss dazu eine Filteroption haben.
- „Wer hat zuletzt was an der Audit-Tool-Konfiguration geändert?" — Frage zum Audit-Log. Hier scheitern die meisten Tools.
- „Wie ist Ihr Notfall-Backup für die Audit-Daten?" — DB-Backup-Strategie, verschlüsselt, off-site.
ITscanner deckt alle vier Fragen out-of-the-box ab. Das ist kein Zufall — wir haben das Tool zusammen mit echten Audit-Workflows entwickelt.
Praxis-Tipp: BSI-Audit ohne Tool ist nicht ratsam
Wir sehen immer wieder Admins, die ihre BSI-Inventur mit PowerShell-Skripten + Excel-Tabellen machen. Das funktioniert für 20 Geräte. Bei 100+ wird's chaotisch. Vor allem:
- Versionierung: Wer hat wann was geändert? Excel kann das nicht.
- Reproduzierbarkeit: Der nächste Auditor will dasselbe Format. PS-Skripte sind oft ad-hoc.
- Audit-Trail: ORP.4 verlangt Nachweis. Excel hat das nicht.
Investieren Sie 49,50 € pro Jahr in ein dediziertes Tool — das ist günstiger als 2 Tage Audit-Mehraufwand pro Jahr.
ITscanner jetzt 7 Tage testen — Flat-Rate 49,50 €/Jahr
Vollständige Funktionen, keine Asset-Limits, keine Cloud, keine Kreditkarte. Aktivieren in 5 Minuten.
Kostenlos herunterladen Vergleich mit Docusnap & Lansweeper →