M 2.223 Sicherheitsvorgaben für die Nutzung von Standardsoftware
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Benutzer
In den meisten Büroumgebungen wird für die typischen Büroaufgaben Standardsoftware eingesetzt. Dazu gehören z. B. Textverarbeitungsprogramme (Word, WordPerfect, StarOffice), Tabellenkalkulation, Büro-Kommunikationssysteme, E-Mail-Programme und Datenbanken. Da diese häufig komplett von einem Anbieter gekauft werden, wird hier auch von Office-Paketen gesprochen. Durch die hohe Verbreitung gleichartiger Software können Sicherheitslücken in diesen Programmen große Auswirkungen haben, da sie an vielen IT-Systemen ausgenutzt werden können und sich Schadprogramme sehr schnell weiterverbreiten. Ein typisches Beispiel hierfür sind Makro-Viren (siehe G 5.43 Makro-Viren).
Um solche Probleme vermeiden bzw. reduzieren zu können, sollten daher Sicherheitsrichtlinien bei der Nutzung von Standardsoftware festgelegt werden.
Standardsoftware ist im Allgemeinen nicht auf ein hohes IT-Sicherheitsniveau ausgelegt. Alle Mitarbeiter sollten daher darauf hingewiesen werden, dass besonders schutzbedürftige Informationen nicht ohne weitere IT-Sicherheitsmaßnahmen auf einem Standard-Büroarbeitsplatz verarbeitet werden sollten. Einige der Standardprodukte bieten aber trotzdem eine Reihe von IT-Sicherheitsfunktionen an, die aber meist deutlich weniger Sicherheit bieten als spezielle Sicherheitsprodukte. Die Benutzer sollten über diese Sicherheitsfunktionen und deren Wirksamkeit informiert werden (siehe auch M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen). Dabei ist vor allen Dingen sicherzustellen, dass die Benutzer sich nicht in einer falschen, trügerischen Sicherheit wiegen und dass die Nutzung dieser Sicherheitsfunktionen keine Sicherheitslücken öffnet. Benutzer sollten darüber informiert werden, dass Office-Produkte nicht für jeden beliebigen Einsatzzweck geeignet sind.
Daneben bieten Office-Pakete häufig Funktionen, die den Austausch von Informationen erleichtern sollen, die aber häufig bereits in der Konzeption große Sicherheitsprobleme mit sich bringen.
Beispiele:
- Nutzung gemeinsamer Terminkalender
Um die Koordination innerhalb von Arbeitsgruppen zu erleichtern, lassen sich die meisten elektronischen Terminkalender untereinander vernetzen. Neben vielen Vorteilen bringt dies aber auch einige Probleme mit sich. So will nicht jeder Mitarbeiter alle seine Termine den Kollegen offen legen. Darauf haben die Hersteller reagiert, in dem sie hier die Möglichkeit bieten, anderen nur die freien bzw. belegten Zeiten anzuzeigen. Viele Mitarbeiter glauben aber zum einen, dass es einen schlechten Eindruck macht, wenn hier viel freie Zeit angezeigt wird, und befürchten zum anderen, dass jede freie Minute von Kollegen mit Terminen besetzt wird. Dies führt dann dazu, dass große Zeiträume auf Vorrat blockiert werden.
Daneben kann es auch zu anderen Problemen kommen, z. B. durch zu großzügige Rechtevergabe.
Es sollte daher Richtlinien für die Verwendung vernetzter Terminkalender und die hierbei zu beachtenden Zugriffsrechte geben. Diese sollten frühzeitig mit dem Personal- bzw. Betriebsrat abgestimmt werden. Bei der Einführung von vernetzten Terminkalendern sollten außerdem alle Mitarbeiter in den richtigen Umgang damit eingewiesen werden. - automatischer Start von CD-ROMs
Unter allen neueren Windows-Betriebssystemen können CD-ROM s automatisch erkannt und gestartet werden. Dadurch können auch Schadprogramme wie Viren oder Trojanische Pferde auf den Rechner gelangen werden. Die automatische CD-ROM-Erkennung sollte daher ausgeschaltet werden (siehe M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung). - OLE (Object Linking And Embedding, Dienst zum Verknüpfen und Einbetten von Objekten)
Über OLE-Funktionen können Objekte in Dateien eingebettet werden. Diese werden in vielen Office-Produkten benutzt, um Informationen anderen Programmen zur Verfügung zu stellen. Hierüber kann beispielsweise eine in Excel erstellte Tabelle in einem Word-Dokument eingebettet werden. Damit werden aber nicht nur die in dem Tabellenausschnitt dargestellte Informationen, sondern u. U. alle in der Excel-Datei enthaltenen Informationen in die Word-Datei übertragen. Wenn die Word-Datei dann weitergegeben wird, kann der Empfänger dann auch die Excel-Datei einsehen und sogar verändern, auch wenn diese durch ein Passwort lese- oder schreibgeschützt war.
Um dies zu verhindern, sollte in diesem Beispiel die Tabelle als Text in die Word-Datei kopiert werden. Nur wenn die Ursprungs-Excel-Datei keine anderen Informationen enthält, als solche, die weitergegeben werden sollen, sollte sie in einer andere Datei eingebettet werden. Dies kann z. B. durch Anlegen einer neuen Excel-Datei erreicht werden (siehe auch M 4.64 Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen). - PostScript /ghostscript
In PostScript-Dateien kann es zu Problemen ähnlich wie bei Makro-Viren kommen. Bei Anzeige-Programmen für PostScript handelt es sich um Interpreter, die die PostScript-Sprache abarbeiten. Ab Level 2.0 der PostScript-Spezifikation gibt es auch PostScript-Befehle, um Dateien zu schreiben. Dadurch ist es möglich, PostScript-Dateien zu erzeugen, die während der Bearbeitung durch einen Interpreter, auch bereits bei der Anzeige am Bildschirm, andere Dateien modifizieren, löschen oder umbenennen können.
Konkrete Probleme existieren bei dem Programm ghostscript (gs). In den Unix-Versionen können die Schreibmöglichkeiten auf Dateien mit der Option -dSAFER abgeschaltet werden.
Allerdings ist dies nicht die Voreinstellung. In Versionen für andere Betriebssysteme heißt diese Option ähnlich.
Die Verwendung der Option -dSAFER wird dem Benutzer überlassen. Dies hat auch zur Folge, dass zahlreiche andere Programme, die intern ghostscript (gs) aufrufen (z. B. netscape, xdvi, xfig, xv etc.), dies unterschiedlich realisieren. Die Option sollte daher als Default eingestellt werden. Beschreibungen, wie dies zu realisieren ist, finden sich in den Sicherheitsbulletins des DFN-CERT DSB-95:02 und DSB-95:03 vom 24. August 1995 (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems).
Bei älteren ghostscript-Versionen kann es daneben weitere PostScript-Befehle geben, mit denen Dateien modifiziert werden können. Es sollten nur ghostscript-Versionen eingesetzt werden, bei denen diese Probleme beseitigt wurden.
Das Programm ghostview, mit dem sich PostScript-Dateien anzeigen lassen, bietet ab der Version 1.5 eine Option -safer an, die die Sicherheitsfunktionen von ghostscript aktiviert. Versionen vor 1.5 bieten diesen Schutz nicht und sollten durch die aktuelle Version ersetzt werden. Ein ähnliches Programm zur Anzeige von PostScript-Dateien ist gv. Hier sollte im Dialogfeld "Ghostscript Options" die Schaltfläche "Safer" aktiviert sein. Beim PostScript-Viewer GSview, der für Windows und OS/2 zur Verfügung steht, sollte die Option "Schreibschutz für Dateien" eingeschaltet sein. - PDF (Portable Document Format)
Auch bei PDF-Dateien kann es zu ähnlichen Problemen kommen, wenn zum Anzeigen dieser Dateien ältere Versionen des Acrobat Readers eingesetzt werden. In PDF-Dateien lassen sich Funktionen wie Programmaufrufe einbetten, die ein Sicherheitsrisiko für die Dateien des lokalen IT-Systems darstellen. Daher sollte zur Anzeige von PDF-Dateien ein Viewer verwendet werden, der- diese Funktionalität nicht unterstützt oder
- geeignete Sicherheitsmechanismen für die Ausführung von Makros bereitstellt (beispielsweise aktuelle Versionen des Acrobat Readers).
- Schnellspeicherung unter Word
Word besitzt die Möglichkeit der Schnellspeicherung von erstellten Texten. Dies führt dazu, dass nur die aktuell vorgenommenen Änderungen an einem Dokument gespeichert werden. Dieser Vorgang nimmt nicht so viel Zeit in Anspruch wie ein vollständiger Speichervorgang, bei dem Word das vollständige überarbeitete Dokument speichert. Ein vollständiger Speichervorgang erfordert jedoch weniger Festplattenspeicher als eine Schnellspeicherung.
Der entscheidende Nachteil der Schnellspeicherung ist aber, dass die Datei unter Umständen Textfragmente enthalten kann, die der Verfasser nicht weitergeben möchte.
Grundsätzlich sollte daher die Option "Schnellspeicherung zulassen" abgeschaltet werden. Des weiteren sollte die Option "Erstellung einer Sicherungskopie" aktiviert sein. Das System sollte regelmäßig durch Löschen der nicht mehr benötigten Sicherungskopien gesäubert werden.
Entscheidet sich der Benutzer trotzdem für die Schnellspeicheroption, sollte er bei folgenden Situationen immer einen vollständigen Speichervorgang durchführen:- Sobald die Bearbeitung eines Dokuments abgeschlossen worden ist.
- Bevor eine Aufgabe ausgeführt wird, die viel Speicherplatz in Anspruch nimmt, z. B. die Suche nach Text oder das Kompilieren eines Indexes.
- Bevor der Dokumenttext in eine andere Anwendung übertragen wird.
- Bevor das Dokument in ein anderes Dateiformat konvertiert wird.
Um gegen Konzeptionsschwächen und bekannt gewordene Sicherheitslücken rechtzeitig Maßnahmen ergreifen zu können, sollte sich der Administrator bzw. das IT-Sicherheitsmanagement regelmäßig über solche Probleme informieren (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems).
Ergänzende Kontrollfragen
- Wurden die Benutzer über die Sicherheitsfunktionen in Anwendungsprogrammen und deren Wirksamkeit informiert?
- Wurde überprüft, dass die Option -dSAFER bei den eingesetzten PostScript-Interpretern aktiviert ist?