Mehr Sicherheit für Microsoft Office

Das Office-Paket von Microsoft ist weit verbreitet – was es für Virenautoren interessant macht. Die folgenden Tipps des BSI sorgen für besseren Schutz.

Warum ist Microsoft Office das Ziel?
Weltweit wird Office von Microsoft und, genauer gesagt, die einzelnen Anwendungen in diesem Paket im Vergleich mit anderen Büroanwendungen am häufigsten eingesetzt. Das gilt sowohl für traditionelle Software als auch für die noch recht jungen Angebote in Form von Office 365.

Office selbst ist dabei nicht sicherer oder unsicherer als die Konkurrenz, die oftmals aus dem Open-Source-Bereich stammt. Vielmehr führt die hohe Verbreitung dazu, dass sich die Autoren von Schadsoftware auf diese Programme spezialisieren: Die Angriffsfläche fällt einfach gigantisch aus.

Das betrifft in erster Linie zwar Unternehmen, bei denen das Einschmuggeln von Viren und Würmern oft wesentlich lukrativer ist als bei Privatanwendern. Dennoch leidet auch der gewöhnliche Nutzer zu Hause unter dem Risiko - denn für die Schadsoftware selbst spielt es keine Rolle, in welchem System sie sich einnistet.

Unserer Meinung nach kann es daher nicht schaden, Office und dessen einzelne Produkte auch zu Hause ein wenig sicherer zu machen. Wir haben daher die besten Tipps zusammengetragen und erläutern, wann und ob das Umsetzen dieser Tipps sinnvoll ist und worauf Sie dafür verzichten müssen.

Wie kann Office sicherer werden?
Diese Frage stellte sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) und hat einige Einstellungen in Bezug auf Datenschutz, Funktionen und Sicherheit bekanntgegeben. Dabei macht das BSI ausgiebig Gebrauch von Gruppenrichtlinien und widmet sich auch Themen wie dem Bedienkomfort.

Denn: Normalerweise gehen eine bequeme Bedienung und Sicherheit nur schwer Hand in Hand. Beispielsweise ist es äußerst bequem, Office-Dokumente in OneDrive, dem Cloud-Speicher von Microsoft, abzulegen. Dort stehen die Daten jederzeit und für alle Geräte zur Verfügung. Aber: Für diesen Komfort geben Sie natürlich ein wenig Sicherheit aus der Hand, denn die Daten liegen dann auf den Servern von Microsoft. Deaktivieren Sie OneDrive, führt das also zu mehr Sicherheit - aber weniger Komfort.

Das BSI gibt daher an, dass man bei den getroffenen Entscheidungen einen Mittelweg zwischen Datenschutz und Komfort gesucht hat. Weiterhin verheimlicht das BSI nicht, dass man die Empfehlungen vor allem an den Bedürfnissen von mittelständischen und großen Unternehmen ausrichtet. Aber: Deren Ansprüche decken sich in vielen Bereichen mit denen eines Privatanwenders, der ebenfalls gerne Komfort verspürt, aber ein sicheres Outlook trotzdem priorisiert.

Wir schauen uns in den folgenden Abschnitten an, welche der Empfehlungen auch für Privatanwender in Frage kommen - und wer vielleicht von mehr oder weniger Sicherheit profitieren könnte. Dabei gilt: Objektive Ratschläge lassen sich kaum geben, da jeder Nutzer selbst entscheiden muss, wie viel Komfort er braucht und wo die Grenze gezogen wird.

Voraussetzungen für BSI-Empfehlungen
Damit die Vorschläge des BSI überhaupt umgesetzt werden können, müssen zwingend die folgenden Bedingungen erfüllt sein:

Windows-Version
Sie brauchen unbedingt eine Pro-Variante von Windows 7, 8 oder 10. Die diversen Home-Editionen reichen nicht aus, da dort keine Gruppenrichtlinien unterstützt werden. In Windows 10 Pro beispielsweise öffnen Sie durch den Befehl gpedit.msc das Tool, um die Gruppenrichtlinien zu verwalten.

Office-Version
Das BSI geht nur auf die Editionen Office 2013, 2016 und 2019 ein. Für Office 2013 sind nicht alle Einstellungen des BSI umsetzbar, da dort noch einige Funktionen fehlen. Keine Probleme sollten Sie auch mit Office 365 haben, das praktisch immer der neuesten Variante von Office 2019 entspricht. Durch die permanenten Updates, die Office 365 erhält, kann es allerdings sein, dass einige Funktionen in Zukunft anders heißen oder nicht mehr verfügbar sind.

Vorlagen für Gruppenrichtlinien
Die Gruppenrichtlinien und ihre Vorlagen stellt Microsoft selbst bereit. Dafür nutzt das Unternehmen ADMX-Dateien, die Sie unter https://www.microsoft.com/en-us/download/details.aspx?id=49030 herunterladen können. Lassen Sie sich nicht verwirren, wenn dort vorrangig von Office 2016 die Rede ist, denn die Gruppenrichtlinien funktionieren auch für Office 2019 und Office 365 problemlos. Für Office 2013 spielen diese Gruppenrichtlinien auch mit - sagt jedenfalls das BSI -, aber hier und da müssen Sie kleinere Einschränkungen hinnehmen. Entscheiden müssen Sie sich darüber hinaus zwischen 32- und 64-Bit-Versionen.

Zu guter Letzt brauchen Sie natürlich noch die BSI-Empfehlungen selbst. Diese werden in sieben einzelnen PDF-Dateien gebündelt. Sie finden diese Daten unter…

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_135.html für Microsoft Office (besonders wichtig für unsere Zwecke und diesen Artikel)
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_136.html;jsessionid=E2DEB7FAB1883A8D91C63CB5A099CCA8.2_cid341 für Microsoft Excel
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_139.html für Microsoft Outlook
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_137.html für Microsoft PowerPoint
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_141.html;jsessionid=E2DEB7FAB1883A8D91C63CB5A099CCA8.2_cid341 für Microsoft Visio
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_138.html für Microsoft Word
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_140.html für Microsoft Access
Nutzen Sie daraus bestimmte Anwendungen, wie vielleicht Access, nicht, brauchen Sie auch das entsprechende PDF-Dokument nicht.

Was sind Gruppenrichtlinien?
In Pro-Versionen aktueller Windows-Varianten gibt Microsoft dem Administrator eines Systems die Möglichkeit, Gruppenrichtlinien zu nutzen. Damit könnten beispielsweise viele Computer in einem einzigen Netzwerk gleichzeitig verwaltet werden. Ein Gerät dient dabei als Server, der diese Einstellungen an alle anderen PCs im Netzwerk weiterleitet. Der englische Begriff lautet übrigens Group Policy Object, weshalb Sie manchmal die Abkürzung GPO lesen, wenn Sie tiefer in die Materie eintauchen.

Jede einzelne Richtlinie steuert dabei genau eine Einstellung einer Windows-Funktion oder einer Applikation. Durch Vorlagen für Gruppenrichtlinien sind komplette Bündel dieser Regeln an einem Ort vereint. Für unseren Anwendungszweck verwalten die Vorlagen von Microsoft gleich 3.000(!) einzelne Einstellungen für das Office-Paket. Den erwähnten Server brauchen Sie übrigens nicht unbedingt, da der Editor für die Gruppenrichtlinien sowieso in jedem Windows Pro enthalten ist.

In Windows 10 starten Sie das Programm, indem Sie die die Windows-Taste drücke und gpedit eingeben. Danach öffnet sich der "Editor für lokale Gruppenrichtlinien". Ein Beispiel verdeutlicht, wie dieses Tool in der Praxis arbeitet:

Öffnen Sie das Programm über den soeben beschriebenen Weg.
Links sehen Sie einige Verzeichnisstrukturen. Öffnen Sie "Richtlinien für Lokaler Computer" und wählen Sie dann den Punkt "Benutzerkonfiguration" aus.
Navigieren Sie innerhalb der "Benutzerkonfiguration" weiter in "Administrative Vorgaben" -> "Startmenü und Taskleiste" -> "Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren".
Wählen Sie in diesem Punkt "Aktiviert" aus und bestätigen Sie die Auswahl dann über "OK".
Fertig: Sie haben jetzt Ihre erste Gruppenrichtlinie geändert. Durch die neue Regel wird die Liste der zuletzt geöffneten Dateien und Ordner, die Windows im Ordenr C:\User\Benutzername\Recent speichert, immer geleert. Es ist also deutlich schwieriger geworden, die von Ihnen genutzten Daten nach zu verfolgen.

Zahlreiche dieser Gruppenrichtlinien sind in Windows im Auslieferungszustand integriert. Für Office trifft dies nicht zu, weshalb Sie die Vorlagen von Microsoft brauchen, die wir weiter oben verlinkt haben.

Sobald Sie die Vorlagen heruntergeladen haben, entpacken Sie diese Datei zunächst. Sie hört auf den Namen admintemplates_x64_4888-1000_en-us.exe für 64-Bit-Systeme und admintemplates_x86_4888-1000_en-us.exe für 32-Bit-Systeme. Gehen Sie in den entpackten Ordner und dort in das ADMX-Verzeichnis. Markieren Sie jetzt alle Daten mit der Dateiendung .admx (Tipp: sortieren Sie nach Dateityp) sowie den Ordner "dede". Die komplette Auswahl kopieren Sie jetzt und fügen sie in den Ordner C:\Windows\PolicyDefinitions ein.

Die ADMX-Daten sind die Vorlagen für Office, die sofort in das System integriert werden, wenn der Kopiervorgang abgeschlossen ist. Einen Neustart brauchen Sie dafür nicht. Wenn Sie den "Editor für lokale Gruppenrichtlinien" erneut öffnen, können Sie die neuen Regeln verwalten.

Achtung: Änderungen mit Vorsicht genießen
Beim BSI arbeiten keine Amateure, und da die Richtlinien vorrangig für Unternehmen geschrieben wurden, wird entsprechende Fachsprache angewendet. Viele der Empfehlungen haben auch gar keine Auswirkungen auf Sie - was etwa an der Regel Nummer 46 deutlich wird, die das "Veröffentlichen auf einem DAV-Server verhindern" soll. Diese Richtlinie ist praktisch nur dann von Interesse, wenn Sie Ihren Outlook-Kalender auf einem Online-Server zur Verfügung stellen, was für über 99 Prozent der Nutzer nicht zutreffen sollte. Wenn Sie diese Einstellung ändern, wird also am Ende gar nichts passieren.

Anders sieht es beispielsweise bei Regel Nummer 68 aus: Sie heißt "Alle E-Mail-Nachrichten signieren". Diese Richtlinie sollten Sie nicht setzen, da typische private Installationen von Outlook gar kein Zertifikat besitzen, um das Signieren von E-Mails überhaupt zuzulassen. Aktivieren Sie die Empfehlung und verfügen nicht über ein solches Zertifikat, werden Sie eine Fehlermeldung sehen und die E-Mail wird nicht versendet. Rückgängig machen können Sie das erst, wenn Sie die Richtlinien wieder deaktivieren oder sie auf "Nicht konfiguriert" setzen.

Aus diesem Beispiel wird deutlich: Ändern Sie Richtlinien nicht, wenn Sie sie nicht verstehen, beziehungsweise die Tragweite dieser Änderung nicht einschätzen können.

Ein wenig greifen Ihnen dabei die Gruppenrichtlinien selbst unter die Arme. Diese Regeln sind zwar meistens nur einige Wörter lang, sodass es nicht möglich ist, ihre Funktion zu verstehen. Wenn Sie jedoch eine Regel anklicken, sehen Sie einen mehr oder weniger langen Beschreibungstext, der mehr Klarheit bringt. Lesen Sie alles aufmerksam durch - sowohl die Absätze für das Aktivieren als auch Deaktivieren einer Regel.

Sind Sie dann noch immer nicht schlauer und auch eine Suche bei Google hilft nicht, sollten Sie die Regel zunächst so belassen. Schreiben Sie sie sich vielleicht auf und kehren Sie später noch einmal zurück. Wir erwähnen noch einmal: Ändern Sie keine Regel, die Sie nicht verstehen.

Welche Regeln sind für mich sinnvoll?
Insgesamt hat das BSI aus den über 3.000 Richtlinien von Microsoft 457 Stück ausgesucht, die für Unternehmen relevant sind. Bei Ihnen zu Hause schrumpft diese Anzahl weiter, dort sind es vielleicht noch 150 bis 200 Regeln. Wie viele es genau sind, hängt auch von Ihrer Installation und Ihrem Anspruch an die Datensicherheit ab. Viel weiter eingrenzen können wir das Regelwerk an dieser Stelle daher nicht.

Aber: Einige Einstellungen sind wesentlich signifikanter als andere und wirken sich daher besonders deutlich auf die Sicherheit aus. Die Regeln 56 bis 59 im Office-PDF beispielsweise beschreiben Richtlinien für "Verbundene Erfahrungen". In Regel 56 können Sie beispielsweise die "Verwendung verbundener Erfahrungen in Office zulassen". Wenn Sie diese Richtlinie deaktivieren, verlieren Sie beispielsweise die Übersetzungsfunktion in allen Office-Produkten - denn dafür werden Verbindungen zu Online-Servern hergestellt - und viele weitere Features, die nur durch die Cloud-Anbindung funktionieren.

Der Nachteil an der Deaktivierung dieser großen Funktionen ist natürlich, dass Sie auch sehr viel Komfort einbüßen. Sogar bei den Empfehlungen des BSI bleiben daher diese Regeln aktiviert, obwohl Sie die Sicherheit gefährden könnten. Was genau diesen Cluster aus Befehlen in Bezug auf "Verbundene Erfahrungen" ausmacht, können Sie übrigens bei Microsoft direkt unter https://docs.microsoft.com/de-de/deployoffice/privacy/connected-experiences nachlesen.

Speziell in dem von uns verlinkten PDF für Outlook hingegen geht das BSI auf die Sicherheit des beliebten E-Mail-Clients ein, den Sie im Editor unter "Benutzerkonfiguration" -> "Administrative Vorlagen" -> "Microsoft Outlook 2016" -> "Sicherheit" einstellen können. Die entsprechenden BSI-Empfehlungen finden Sie unter den Nummern 109 bis 111 - und zwischendurch auch an anderer Stelle, wie etwa in Form der Regel 25: Diese lautet "Alle nicht verwalteten Add-ins blockieren". Damit können Sie verhindern, dass durch die Add-in-Funktion heimlich eingeschleuste Schadsoftware in das System Einzug hält.

Auch hier handelt es sich wieder um eine Gratwanderung, denn durch das Deaktivieren von nicht verwalteten Add-ins können Sie selbst natürlich auch keine Add-ins mehr installieren - was je nach Anspruch und Installation ein echtes Problem sein kann.

Ein hoher Aufwand, der sich lohnen kann
Die besten Resultate erzielen Sie, wenn Sie sich alle 457 Richtlinien des BSI genau ansehen und dann die für Sie zutreffenden Vorgaben umsetzen. Der Nachteil daran ist natürlich der enorme Zeitaufwand, den Sie investieren müssen.

Möchten Sie einen guten Kompromiss treffen, sollten Sie sich vor allem auf das übergreifende Office-PDF spezialisieren und dort die für Sie wichtigen Einstellungen übernehmen. Davon abgesehen ist es wichtig, die eigenen Anwendungen klar zu identifizieren: Womit arbeiten Sie überhaupt? Sie verwenden Microsoft Visio nicht? Dann können Sie natürlich darauf verzichten, das entsprechende PDF herunterzuladen. Verwenden Sie hingegen Outlook, kann ein Blick in das entsprechende Dokument garantiert nicht schaden.

Ich habe einen Fehler gemacht - was tun?
Möglicherweise arbeitet eine Ihrer Office-Anwendungen nicht mehr fehlerfrei oder überhaupt nicht mehr, nachdem Sie eine Richtlinie geändert haben. Vielleicht können Sie auch garn nicht mehr nachvollziehen, welche Richtlinie das genau ist. Auch in diesem Fall sind Sie nicht aufgeschmissen, denn Sie können einfach die entsprechende Datei aus dem erwähnten Ordner C:\Windows\PolicyDefinitions löschen.

Falls beispielsweise Outlook nicht mehr richtig arbeitet, löschen Sie outlk16.admx. Word möchte nicht mehr mitspielen? Dann löschen Sie word16.admx. Falls auch das nicht helfen sollte, holen Sie einfach zum Rundumschlag aus und entfernen office16.admx. Darin sind alle Vorlagen gespeichert, die für sämtliche Office-Anwendungen zum Einsatz kommen.

Der Nachteil an dieser Methode ist, dass alle anderen bisherigen Änderungen auch wieder rückgängig gemacht werden. Haben Sie also 99 gute Änderungen und eine schlechte Regeländerung vorgenommen, müssen Sie trotzdem alle 100 veränderten Vorlagen entfernen - ärgerlich, aber immer noch besser als ein gar nicht mehr funktionierendes Programm.

"Endlich bin ich sicher!"
Ganz so einfach ist es leider auch nicht - und das weiß auch das BSI. Nicht umsonst erhalten Sie daher den Hinweis, dass die Änderung der Gruppenrichtlinien zwar dabei hilft, die Angriffsfläche zu verringern. Ein Restrisiko bleibt jedoch bestehen - und das wird sich auch nicht ändern. Absolute Sicherheit gegen Angriffe und Schäden von außen erhalten Sie nur, wenn Sie die Internetverbindung komplett trennen und den Computer offline betreiben. Genau das dürfte aber in der heutigen Zeit ein wenig zu viel Verzicht auf Komfort und Funktionalität bedeuten.