Die Nutzung von Microsoft Office unter Windows geht oft mit Risiken wie Phishing und Social Engineering, sch\u00e4dlichen Makros und teils zuvor unbekannten Sicherheitsl\u00fccken (Zero-Day-Schwachstellen) einher. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat daher am Freitag neue Empfehlungen zur sicheren Konfiguration von Teilen des vielfach verwendeten Pakets f\u00fcr B\u00fcrosoftware herausgegeben, die vorherige Ratschl\u00e4ge von 2024 aktualisieren.<\/p>\n
Die Tipps enthalten laut der Bonner Beh\u00f6rde konkrete Hinweise und Einstellungen<\/a>, die in den Office-Anwendungen angepasst werden sollten, „um das IT-Sicherheitsniveau schnell und effizient zu erh\u00f6hen“. Neben dem gesamten Office-Paket betrachten die Experten dabei auch einzelne enthaltene Produkte wie Access, Excel, Outlook, PowerPoint oder Word einzeln.<\/p>\n Die Empfehlungen sind vor allem auf mittlere bis gro\u00dfe Organisationen ausgerichtet, die ihre Endger\u00e4te \u00fcber Gruppenrichtlinien in einer Active Directory Umgebung verwalten. Auch „versierte IT-Nutzende“ will das BSI damit aber ansprechen. Eine solche Umsetzung biete im Vergleich zur Konfiguration in der Benutzeroberfl\u00e4che (GUI) den Vorteil, „dass eine h\u00f6here Anzahl von Konfigurationsm\u00f6glichkeiten vorhanden ist“.<\/p>\n VBA und Makros m\u00f6glichst deaktivieren<\/p>\n Beim gesamten Office-Paket mahnt das Amt zum Beachten einiger Grundprinzipien<\/a>: Die ben\u00f6tigte Anwendungsfunktionalit\u00e4t soll nicht wesentlich beeintr\u00e4chtigt werden. Zugleich gelte es aber, nicht ben\u00f6tigte Funktionen zu deaktivieren, um die Angriffsfl\u00e4che zu verringern. Der Datenschutz soll durch die Vermeidung von unn\u00f6tigen Daten\u00fcbertragungen an den Hersteller und die Vermeidung externer Cloud-Dienste erh\u00f6ht werden.<\/p>\n Der Bericht enth\u00e4lt detaillierte Computer- und Benutzerrichtlinien, die als sicherheitsrelevant eingestuft werden. Das BSI r\u00e4t etwa, solche Vorgaben immer explizit auf „aktiviert“ oder „deaktiviert“ zu setzen, da die Standardeinstellung „nicht konfiguriert“ mit Sicherheitspatches ihre Bedeutung \u00e4ndern k\u00f6nnte. Automatische Updates sollten aktiviert werden, hei\u00dft es. Die Nutzung Visual Basic for Applications (VBA) f\u00fcr Office-Anwendungen sei zu deaktivieren. F\u00fcr die Gew\u00e4hrleistung der Privatsph\u00e4re sollte etwa der Best\u00e4tigungsassistent beim ersten Start abgestellt werden. Beim Zugriff auf Cloud-Dienste erfolgt der Hinweis, die Anmeldung bei Office und OneDrive zu blockieren.<\/p>\n „Die Konfiguration der Gruppenrichtlinien hilft nur dabei, die Angriffsfl\u00e4che auf Anwendungen von Microsoft Office zu verringern“, gibt das BSI zu bedenken und stellt auf „Restrisiken“ ab. Es gebe n\u00e4mlich Verhaltensweisen, die nicht \u00fcber die Richtlinien konfigurierbar seien. So k\u00f6nnten etwa „durch die Telemetrie auch sensible Daten an Microsoft \u00fcbertragen werden“.<\/p>\n Mittelweg zwischen Sicherheit und Funktionalit\u00e4t<\/p>\n Zur Datenbanksoftware Access h\u00e4lt das BSI fest<\/a>, dass die Konfiguration von Software oft einen Kompromiss zwischen Sicherheit und Funktionalit\u00e4t darstelle. Je st\u00e4rker erstere im Fokus stehe, desto mehr werde der Umfang der Anwendung eingeschr\u00e4nkt. Die Anzahl der Sicherheitsentscheidungen, die von Nutzern getroffen werden m\u00fcssen, sollte bei Access auf jeden Fall minimiert werden. Auch hier sei die \u00dcbertragung unn\u00f6tiger Informationen an den Hersteller zu unterbinden. Externe Cloud-Dienste sollen vermieden werden.<\/p>\n Die Ausf\u00fchrung von Makros in Office-Dateien aus dem Internet sei zu blockieren, wird das Amt konkreter, etwa auch f\u00fcr Word<\/a> und Excel<\/a>. Das gelte zugleich f\u00fcr alle nicht verwalteten und nicht signierten Add-ins. Alle vertrauensw\u00fcrdigen Speicherorte sollten deaktiviert werden, um zu verhindern, dass Inhalte von dort automatisch als sicher eingestuft werden. Letztlich sei die allgemeine Sicherheit der Umgebung eine wichtige Voraussetzung f\u00fcr weitere Schritte.<\/p>\n F\u00fcr das E-Mail- und Kalenderprogramm Outlook<\/a> r\u00e4t das BSI etwa, Optionen zum Deaktivieren oder Blockieren der Synchronisierung mit sozialen Netzwerken gezielt zu nutzen. Entscheidend sei das Aktivieren von Verschl\u00fcsselung und das Verhindern des Speicherns von Anmeldeinformationen. Funktionen f\u00fcr RSS-Feeds und die Kalenderintegration sollten nicht verwendet werden, um das automatische Herunterladen von Anlagen zu verhindern. Empfehlenswert sei auch das Aufstellen von Regeln f\u00fcr Dateierweiterungen, die als potenziell gef\u00e4hrlich eingestuft und blockiert werden sollen. Zu Windows selbst erkl\u00e4rte das BSI schon fr\u00fcher, dass bei dem Betriebssystem vor allem das Treibermanagement „herausfordernd“ und eine H\u00e4rtung empfehlenswert sei<\/a>.<\/p>\n