M 2.223 Sicherheitsvorgaben für die Nutzung von Standardsoftware

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Benutzer, Administrator

In den meisten Büroumgebungen wird für die typischen Büroaufgaben Standardsoftware eingesetzt. Dazu gehören z. B. Textverarbeitungsprogramme, Tabellenkalkulationen, Büro-Kommunikationssysteme, E-Mail-Programme und Datenbanken. Da diese häufig komplett von einem Anbieter gekauft werden, wird hier auch von Office-Paketen gesprochen. Durch die hohe Verbreitung gleichartiger Software können Sicherheitslücken in diesen Programmen große Auswirkungen haben, da sie an vielen IT-Systemen ausgenutzt werden können und sich Schadprogramme sehr schnell weiterverbreiten. Ein typisches Beispiel hierfür sind Makro-Viren (siehe G 5.43 Makro-Viren).

Um solche Probleme vermeiden bzw. reduzieren zu können, sollten daher Sicherheitsrichtlinien bei der Nutzung von Standardsoftware festgelegt werden.

Um den Einsatz von Standardsoftware wie Office-Pakten abzusichern, sind seitens IT-Betrieb und Sicherheitsmanagement die folgenden Punkte zu beachten:

Die Sicherheit aller Office-Pakete und anderer Standardsoftware hängt von der Sicherheit der eingesetzten Hardware und Betriebssysteme ab. Die meisten Hersteller von Office-Anwendungen bieten auf ihren Webseiten Empfehlungen für eine sichere Konfiguration des Produktes sowie Patches, um identifizierte Schwachstellen zu beheben. Diese sollten genutzt werden.

Außerdem werden Office-Programme auch von Cloud Computing Dienstleistern angeboten. Diese Programme laufen clientseitig in der Ausführungsumgebung des verwendeten Internet-Browsers ab. Grundlegend für die Sicherheit solcher Anwendungen ist neben der Sicherheit der Hardware und des Betriebssystems somit auch die Sicherheit der Internetumgebung und des externen Anbieters (siehe auch M 2.460 Geregelte Nutzung von externen Dienstleistungen).

Hierbei handelt es sich um Erweiterungen, die zum Teil von Drittanbietern stammen und von Office-Komponenten bei Bedarf ausgeführt werden, z. B. um Hypertextelemente richtig zu verarbeiten und auszugeben. Es sollten nur solche Add-Ins installiert werden, die von vertrauenswürdigen Herausgebern stammen und vom IT-Betrieb getestet und freigegeben wurden. Dabei ist darauf zu achten, dass die Konfigurationsoptionen in manchen Office-Anwendungen standardmäßig wenig restriktiv voreingestellt sind, sodass Add-Ins grundsätzlich als vertrauenswürdig gelten. Die Konfigurationen sind entsprechend anzupassen. Außerdem sollten alle Add-Ins fortlaufend von den Originalseiten der Anbieter aktualisiert werden, um sicherheitstechnisch auf dem neuesten Stand zu bleiben.

Makros erlauben die Automatisierung von Vorgängen in Anwendungen, stellen aber immer wieder eine Gefährdung dar, da sie Schadcode enthalten können. Ein typisches Ziel von Angriffen solcher Makroviren ist z. B. die Infektion der Standard-Dokumentvorlage, da sie beim Starten der entsprechenden Office-Anwendung automatisch geladen wird. Daher sollten Benutzer auf die Problematik hingewiesen und darüber informiert werden, wie sie Makro-Schadprogrammen vorbeugen können (siehe M 2.224 Vorbeugung gegen Schadprogramme). Dazu gehört insbesondere, dass Makros nicht automatisch ausgeführt werden sollten. ActiveX-Elemente sollten nach Möglichkeit deaktiviert werden.

Sicherheitsmaßnahmen im laufenden Betrieb

Office-Software und andere Standardsoftware sollte nie mit Administratorrechten gestartet werden. Es sollten nur solche Dateien direkt in den Anwendungen geöffnet werden, deren Herkunft als vertrauenswürdig eingeschätzt wird. Bevor Dateien aus externen Quellen geöffnet werden, müssen sie vorab durch ein aktuelles Virenschutzprogramm überprüft werden.

Für den Austausch von Dokumenten sollten diese möglichst digital signiert und/oder verschlüsselt werden.

Standardsoftware ist im Allgemeinen nicht auf ein hohes Sicherheitsniveau ausgelegt. Alle Mitarbeiter sollten daher darauf hingewiesen werden, dass besonders schutzbedürftige Informationen nicht ohne weitere Sicherheitsmaßnahmen auf einem Standard-Büroarbeitsplatz verarbeitet werden sollten. Einige der Standardprodukte bieten aber trotzdem eine Reihe von Sicherheitsfunktionen an, die aber meist deutlich weniger Sicherheit bieten als spezielle Sicherheitsprodukte. Die Benutzer sollten über diese Sicherheitsfunktionen und deren Wirksamkeit informiert werden (siehe auch M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen). Dabei ist vor allen Dingen sicherzustellen, dass die Benutzer sich nicht in einer falschen, trügerischen Sicherheit wiegen und dass die Nutzung dieser Sicherheitsfunktionen keine Sicherheitslücken öffnet. Benutzer sollten darüber informiert werden, dass Office-Produkte nicht für jeden beliebigen Einsatzzweck geeignet sind.

Daneben bieten Office-Pakete häufig Funktionen, die den Austausch von Informationen erleichtern sollen, die aber häufig bereits in der Konzeption große Sicherheitsprobleme mit sich bringen.

Beispiele:

Aktive Inhalte in PDFs eröffnen Sicherheitsrisiken, werden aber nur selten tatsächlich benötigt. Daher sollte JavaScript in den PDF-Anzeige-Programmen deaktiviert werden.

Die am meisten verwendeten PDF-Betrachter sind Adobe Reader bzw. Acrobat. An Marktführern orientieren sich auch Schadsoftware-Entwickler. Daher kann es auch sinnvoll sein, weniger verbreitete PDF-Betrachter einzusetzen oder zumindest vorzuhalten, um bei akuten Warnmeldungen ausweichen zu können.

Um gegen Konzeptionsschwächen und bekannt gewordene Sicherheitslücken rechtzeitig Maßnahmen ergreifen zu können, sollte sich der Administrator bzw. das Sicherheitsmanagement regelmäßig über solche Probleme informieren (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems).

Prüffragen: