M 2.223 Sicherheitsvorgaben für die Nutzung von Standardsoftware

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

In den meisten Büroumgebungen wird für die typischen Büroaufgaben Standardsoftware eingesetzt. Dazu gehören z. B. Textverarbeitungsprogramme (Word, WordPerfect, StarOffice), Tabellenkalkulation, Büro-Kommunikationssysteme, E-Mail-Programme und Datenbanken. Da diese häufig komplett von einem Anbieter gekauft werden, wird hier auch von Office-Paketen gesprochen. Durch die hohe Verbreitung gleichartiger Software können Sicherheitslücken in diesen Programmen große Auswirkungen haben, da sie an vielen IT-Systemen ausgenutzt werden können und sich Schadprogramme sehr schnell weiterverbreiten. Ein typisches Beispiel hierfür sind Makro-Viren (siehe G 5.43 Makro-Viren).

Um solche Probleme vermeiden bzw. reduzieren zu können, sollten daher Sicherheitsrichtlinien bei der Nutzung von Standardsoftware festgelegt werden.

Standardsoftware ist im Allgemeinen nicht auf ein hohes IT-Sicherheitsniveau ausgelegt. Alle Mitarbeiter sollten daher darauf hingewiesen werden, dass besonders schutzbedürftige Informationen nicht ohne weitere IT-Sicherheitsmaßnahmen auf einem Standard-Büroarbeitsplatz verarbeitet werden sollten. Einige der Standardprodukte bieten aber trotzdem eine Reihe von IT-Sicherheitsfunktionen an, die aber meist deutlich weniger Sicherheit bieten als spezielle Sicherheitsprodukte. Die Benutzer sollten über diese Sicherheitsfunktionen und deren Wirksamkeit informiert werden (siehe auch M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen). Dabei ist vor allen Dingen sicherzustellen, dass die Benutzer sich nicht in einer falschen, trügerischen Sicherheit wiegen und dass die Nutzung dieser Sicherheitsfunktionen keine Sicherheitslücken öffnet. Benutzer sollten darüber informiert werden, dass Office-Produkte nicht für jeden beliebigen Einsatzzweck geeignet sind.

Daneben bieten Office-Pakete häufig Funktionen, die den Austausch von Informationen erleichtern sollen, die aber häufig bereits in der Konzeption große Sicherheitsprobleme mit sich bringen.

Beispiele:

Um gegen Konzeptionsschwächen und bekannt gewordene Sicherheitslücken rechtzeitig Maßnahmen ergreifen zu können, sollte sich der Administrator bzw. das IT-Sicherheitsmanagement regelmäßig über solche Probleme informieren (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems).

Ergänzende Kontrollfragen