Was ist neu in ITscanner v2.09 — BSI-konforme Hardening-Suite

Authentifizierung & Zugriffskontrolle

• MFA / TOTP: Zwei-Faktor-Authentifizierung mit Google Authenticator, Microsoft Authenticator, Authy oder 1Password. 10 einmalige Recovery-Codes (Argon2id-gehasht).
• Brute-Force-Lockout: Nach 5 Fehlversuchen pro Username+IP innerhalb 15min wird das Konto fuer 15min gesperrt — BSI ORP.4 konform.
• Active Directory Single-Sign-On (LDAP/LDAPS): Mitarbeiter loggen sich mit ihren AD-Credentials ein, Mitglieder einer Admin-Group werden automatisch admin. Auto-Provisioning bei Erst-Login.

Audit-Log und Compliance

• BSI-konformes Audit-Log: 30+ stable Action-IDs (auth.login, vault.unlock, vulnscan.acknowledge, dsgvo.export ...). Async-Worker mit Batch-Persist. Default-Retention 365 Tage. Erfuellt BSI ORP.4 + OPS.1.1.5.
• SIEM-Forwarding: Audit-Log-Eintraege werden an Splunk, QRadar, ArcSight, Microsoft Sentinel oder eigene Webhooks weitergeleitet — Formate Syslog (RFC 5424), CEF, JSON-Webhook ueber UDP/TCP/HTTPS.
• DSGVO Auskunft + Pseudonymisierung: Art. 15 DSGVO-Auskunft als JSON-Export aller User-Daten; Art. 17 Recht auf Loeschung als Pseudonymisierung (REDACTED-{ID}, Audit-Log-Referenzen bleiben Compliance-konform erhalten).
• AVV nach Art. 28 DSGVO: Standard-Auftragsverarbeitungsvereinbarung zum Download mit Anlagen 1-3 (Verarbeitung, TOM, Sub-Auftragsverarbeiter).

Schwachstellen-Management (BSI APP.4.4)

• Vulnerability-Scanner: Lokale CVE-Datenbank mit CISA KEV (Known Exploited Vulnerabilities — 1500+ aktiv ausgenutzte CVEs), NVD API 2.0 (volle CVE-DB mit CPE-Match), FIRST.org EPSS (Exploit-Wahrscheinlichkeit). Tageweise Auto-Sync, Re-Match nach jedem Customer-Scan.
• CVE-Whitelist: Akzeptiertes Risiko / Compensating Controls mit Pflicht-Begruendung (BSI: schriftliche Doku) und optionaler Ablauffrist. Scope global / host / software.
• Email-Notifier: SMTP mit STARTTLS — kritische CVE-Findings (KEV oder CVSS ≥ 9) und Drift-Alerts werden automatisch gemeldet. Watcher pollt alle 10min.

Datenschutz

• Verschluesseltes Backup: .itscbak-Format mit Argon2id-Master-Passwort + AES-256-GCM. Off-Site-Sicherung auf S3, Azure Blob, USB-Stick oder NAS. WAL-Checkpoint waehrend Live-Betrieb.
• Credential-Vault: Argon2id-Master-PW, AES-256-GCM-Verschluesselung mit Per-Entry-Nonces, Auto-Lock nach 60min Inaktivitaet.
• Customer-Wiki: Markdown-basiertes Knowledge-Base mit Slug, Revisions, Search-via-LIKE.

Infrastruktur

• Pulse-Monitor: ICMP-Ping (kein Root noetig), TCP-Port-Probes, HTTP-Status-Checks. 30s-Tick, 90 Tage Retention der Probe-Ergebnisse.
• Drift-Detection: Compliance-Waechter mit stable category IDs (host.new, os.eol, port.opened, backup.missing, license.unactivated). MSP-Console kann ueber alle gepairten Kunden aggregieren.
• MSP-Pairing: Optional — externe IT-Dienstleister koennen mit Customer-resident-Architektur betreuen. Daten bleiben am Kunden, Hub Augsburg + Bollnaes mit HA via PostgreSQL Streaming Replication. WebSocket-Tunnel mit E2E-ChaCha20-Poly1305-Verschluesselung.