IT-Security: BSI gibt Tipps zu Microsoft Office – und warnt vor „Restrisiken“

Die Nutzung von Microsoft Office unter Windows geht oft mit Risiken wie Phishing und Social Engineering, schädlichen Makros und teils zuvor unbekannten Sicherheitslücken (Zero-Day-Schwachstellen) einher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher am Freitag neue Empfehlungen zur sicheren Konfiguration von Teilen des vielfach verwendeten Pakets für Bürosoftware herausgegeben, die vorherige Ratschläge von 2024 aktualisieren.

Die Tipps enthalten laut der Bonner Behörde konkrete Hinweise und Einstellungen, die in den Office-Anwendungen angepasst werden sollten, „um das IT-Sicherheitsniveau schnell und effizient zu erhöhen“. Neben dem gesamten Office-Paket betrachten die Experten dabei auch einzelne enthaltene Produkte wie Access, Excel, Outlook, PowerPoint oder Word einzeln.

Die Empfehlungen sind vor allem auf mittlere bis große Organisationen ausgerichtet, die ihre Endgeräte über Gruppenrichtlinien in einer Active Directory Umgebung verwalten. Auch „versierte IT-Nutzende“ will das BSI damit aber ansprechen. Eine solche Umsetzung biete im Vergleich zur Konfiguration in der Benutzeroberfläche (GUI) den Vorteil, „dass eine höhere Anzahl von Konfigurationsmöglichkeiten vorhanden ist“.

VBA und Makros möglichst deaktivieren

Beim gesamten Office-Paket mahnt das Amt zum Beachten einiger Grundprinzipien: Die benötigte Anwendungsfunktionalität soll nicht wesentlich beeinträchtigt werden. Zugleich gelte es aber, nicht benötigte Funktionen zu deaktivieren, um die Angriffsfläche zu verringern. Der Datenschutz soll durch die Vermeidung von unnötigen Datenübertragungen an den Hersteller und die Vermeidung externer Cloud-Dienste erhöht werden.

Der Bericht enthält detaillierte Computer- und Benutzerrichtlinien, die als sicherheitsrelevant eingestuft werden. Das BSI rät etwa, solche Vorgaben immer explizit auf „aktiviert“ oder „deaktiviert“ zu setzen, da die Standardeinstellung „nicht konfiguriert“ mit Sicherheitspatches ihre Bedeutung ändern könnte. Automatische Updates sollten aktiviert werden, heißt es. Die Nutzung Visual Basic for Applications (VBA) für Office-Anwendungen sei zu deaktivieren. Für die Gewährleistung der Privatsphäre sollte etwa der Bestätigungsassistent beim ersten Start abgestellt werden. Beim Zugriff auf Cloud-Dienste erfolgt der Hinweis, die Anmeldung bei Office und OneDrive zu blockieren.

„Die Konfiguration der Gruppenrichtlinien hilft nur dabei, die Angriffsfläche auf Anwendungen von Microsoft Office zu verringern“, gibt das BSI zu bedenken und stellt auf „Restrisiken“ ab. Es gebe nämlich Verhaltensweisen, die nicht über die Richtlinien konfigurierbar seien. So könnten etwa „durch die Telemetrie auch sensible Daten an Microsoft übertragen werden“.

Mittelweg zwischen Sicherheit und Funktionalität

Zur Datenbanksoftware Access hält das BSI fest, dass die Konfiguration von Software oft einen Kompromiss zwischen Sicherheit und Funktionalität darstelle. Je stärker erstere im Fokus stehe, desto mehr werde der Umfang der Anwendung eingeschränkt. Die Anzahl der Sicherheitsentscheidungen, die von Nutzern getroffen werden müssen, sollte bei Access auf jeden Fall minimiert werden. Auch hier sei die Übertragung unnötiger Informationen an den Hersteller zu unterbinden. Externe Cloud-Dienste sollen vermieden werden.

Die Ausführung von Makros in Office-Dateien aus dem Internet sei zu blockieren, wird das Amt konkreter, etwa auch für Word und Excel. Das gelte zugleich für alle nicht verwalteten und nicht signierten Add-ins. Alle vertrauenswürdigen Speicherorte sollten deaktiviert werden, um zu verhindern, dass Inhalte von dort automatisch als sicher eingestuft werden. Letztlich sei die allgemeine Sicherheit der Umgebung eine wichtige Voraussetzung für weitere Schritte.

Für das E-Mail- und Kalenderprogramm Outlook rät das BSI etwa, Optionen zum Deaktivieren oder Blockieren der Synchronisierung mit sozialen Netzwerken gezielt zu nutzen. Entscheidend sei das Aktivieren von Verschlüsselung und das Verhindern des Speicherns von Anmeldeinformationen. Funktionen für RSS-Feeds und die Kalenderintegration sollten nicht verwendet werden, um das automatische Herunterladen von Anlagen zu verhindern. Empfehlenswert sei auch das Aufstellen von Regeln für Dateierweiterungen, die als potenziell gefährlich eingestuft und blockiert werden sollen. Zu Windows selbst erklärte das BSI schon früher, dass bei dem Betriebssystem vor allem das Treibermanagement „herausfordernd“ und eine Härtung empfehlenswert sei.

(mki)