Bundesamt für Sicherheit in der Informationstechnik

M 2.223 Sicherheitsvorgaben für die Nutzung von Standardsoftware

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

In den meisten Büroumgebungen wird für die typischen Büroaufgaben Standardsoftware eingesetzt. Dazu gehören z. B. Textverarbeitungsprogramme, Tabellenkalkulationen, Büro-Kommunikationssysteme, E-Mail-Programme und Datenbanken. Da diese häufig komplett von einem Anbieter gekauft werden, wird hier auch von Office-Paketen gesprochen. Durch die hohe Verbreitung gleichartiger Software können Sicherheitslücken in diesen Programmen große Auswirkungen haben, da sie an vielen IT -Systemen ausgenutzt werden können und sich Schadprogramme sehr schnell weiterverbreiten. Ein typisches Beispiel hierfür sind Makro-Viren (siehe G 5.43 Makro-Viren ).

Um solche Probleme vermeiden bzw. reduzieren zu können, sollten daher Sicherheitsrichtlinien bei der Nutzung von Standardsoftware festgelegt werden.

Um den Einsatz von Standardsoftware wie Office-Pakten abzusichern, sind seitens IT-Betrieb und Sicherheitsmanagement die folgenden Punkte zu beachten:

  • Sicherheit der Einsatzumgebung

Die Sicherheit aller Office-Pakete und anderer Standardsoftware hängt von der Sicherheit der eingesetzten Hardware und Betriebssysteme ab. Die meisten Hersteller von Office-Anwendungen bieten auf ihren Webseiten Empfehlungen für eine sichere Konfiguration des Produktes sowie Patches, um identifizierte Schwachstellen zu beheben. Diese sollten genutzt werden.

Außerdem werden Office-Programme auch von Cloud Computing Dienstleistern angeboten. Diese Programme laufen clientseitig in der Ausführungsumgebung des verwendeten Internet-Browsers ab. Grundlegend für die Sicherheit solcher Anwendungen ist neben der Sicherheit der Hardware und des Betriebssystems somit auch die Sicherheit der Internetumgebung und des externen Anbieters (siehe auch M 2.460 Geregelte Nutzung von externen Dienstleistungen ).

  • Add-Ins und Makros

Hierbei handelt es sich um Erweiterungen, die zum Teil von Drittanbietern stammen und von Office-Komponenten bei Bedarf ausgeführt werden, z. B. um Hypertextelemente richtig zu verarbeiten und auszugeben. Es sollten nur solche Add-Ins installiert werden, die von vertrauenswürdigen Herausgebern stammen und vom IT-Betrieb getestet und freigegeben wurden. Dabei ist darauf zu achten, dass die Konfigurationsoptionen in manchen Office-Anwendungen standardmäßig wenig restriktiv voreingestellt sind, sodass Add-Ins grundsätzlich als vertrauenswürdig gelten. Die Konfigurationen sind entsprechend anzupassen. Außerdem sollten alle Add-Ins fortlaufend von den Originalseiten der Anbieter aktualisiert werden, um sicherheitstechnisch auf dem neuesten Stand zu bleiben.

Makros erlauben die Automatisierung von Vorgängen in Anwendungen, stellen aber immer wieder eine Gefährdung dar, da sie Schadcode enthalten können. Ein typisches Ziel von Angriffen solcher Makroviren ist z. B. die Infektion der Standard-Dokumentvorlage, da sie beim Starten der entsprechenden Office-Anwendung automatisch geladen wird. Daher sollten Benutzer auf die Problematik hingewiesen und darüber informiert werden, wie sie Makro-Schadprogrammen vorbeugen können (siehe M 2.224 Vorbeugung gegen Schadprogramme ). Dazu gehört insbesondere, dass Makros nicht automatisch ausgeführt werden sollten. ActiveX-Elemente sollten nach Möglichkeit deaktiviert werden.

Sicherheitsmaßnahmen im laufenden Betrieb

Office-Software und andere Standardsoftware sollte nie mit Administratorrechten gestartet werden. Es sollten nur solche Dateien direkt in den Anwendungen geöffnet werden, deren Herkunft als vertrauenswürdig eingeschätzt wird. Bevor Dateien aus externen Quellen geöffnet werden, müssen sie vorab durch ein aktuelles Virenschutzprogramm überprüft werden.

Für den Austausch von Dokumenten sollten diese möglichst digital signiert und/oder verschlüsselt werden.

Standardsoftware ist im Allgemeinen nicht auf ein hohes Sicherheitsniveau ausgelegt. Alle Mitarbeiter sollten daher darauf hingewiesen werden, dass besonders schutzbedürftige Informationen nicht ohne weitere Sicherheitsmaßnahmen auf einem Standard-Büroarbeitsplatz verarbeitet werden sollten. Einige der Standardprodukte bieten aber trotzdem eine Reihe von Sicherheitsfunktionen an, die aber meist deutlich weniger Sicherheit bieten als spezielle Sicherheitsprodukte. Die Benutzer sollten über diese Sicherheitsfunktionen und deren Wirksamkeit informiert werden (siehe auch M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen). Dabei ist vor allen Dingen sicherzustellen, dass die Benutzer sich nicht in einer falschen, trügerischen Sicherheit wiegen und dass die Nutzung dieser Sicherheitsfunktionen keine Sicherheitslücken öffnet. Benutzer sollten darüber informiert werden, dass Office-Produkte nicht für jeden beliebigen Einsatzzweck geeignet sind.

Daneben bieten Office-Pakete häufig Funktionen, die den Austausch von Informationen erleichtern sollen, die aber häufig bereits in der Konzeption große Sicherheitsprobleme mit sich bringen.

Beispiele:

  • Nutzung gemeinsamer Terminkalender
    Um die Koordination innerhalb von Arbeitsgruppen zu erleichtern, lassen sich die meisten elektronischen Terminkalender untereinander vernetzen. Neben vielen Vorteilen bringt dies aber auch einige Probleme mit sich. So will nicht jeder Mitarbeiter alle seine Termine den Kollegen offen legen. Darauf haben die Hersteller reagiert, in dem sie hier die Möglichkeit bieten, anderen nur die freien bzw. belegten Zeiten anzuzeigen. Viele Mitarbeiter glauben aber zum einen, dass es einen schlechten Eindruck macht, wenn hier viel freie Zeit angezeigt wird, und befürchten zum anderen, dass jede freie Minute von Kollegen mit Terminen besetzt wird. Dies führt dann dazu, dass große Zeiträume auf Vorrat blockiert werden.
    Daneben kann es auch zu anderen Problemen kommen, z. B. durch zu großzügige Rechtevergabe.
    Es sollte daher Richtlinien für die Verwendung vernetzter Terminkalender und die hierbei zu beachtenden Zugriffsrechte geben. Diese sollten frühzeitig mit dem Personal- bzw. Betriebsrat abgestimmt werden. Bei der Einführung von vernetzten Terminkalendern sollten außerdem alle Mitarbeiter in den richtigen Umgang damit eingewiesen werden.
  • automatischer Start von CD-ROM s
    Unter allen neueren Windows-Betriebssystemen können CD-ROMs automatisch erkannt und gestartet werden. Dadurch können auch Schadprogramme wie Viren oder Trojanische Pferde auf den Rechner gelangen werden. Die automatische CD-ROM-Erkennung sollte daher ausgeschaltet werden (siehe M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung ).
  • OLE (Object Linking And Embedding, Dienst zum Verknüpfen und Einbetten von Objekten)
    Über OLE-Funktionen können Objekte in Dateien eingebettet werden. Diese werden in vielen Office-Produkten benutzt, um Informationen anderen Programmen zur Verfügung zu stellen. Hierüber kann beispielsweise eine in Excel erstellte Tabelle in einem Word-Dokument eingebettet werden. Damit werden aber nicht nur die in dem Tabellenausschnitt dargestellte Informationen, sondern unter Umständen alle in der Excel-Datei enthaltenen Informationen in die Word-Datei übertragen. Wenn die Word-Datei dann weitergegeben wird, kann der Empfänger dann auch die Excel-Datei einsehen und sogar verändern, auch wenn diese durch ein Passwort lese- oder schreibgeschützt war.
    Um dies zu verhindern, sollte in diesem Beispiel die Tabelle als Text in die Word-Datei kopiert werden. Nur wenn die Ursprungs-Excel-Datei keine anderen Informationen enthält, als solche, die weitergegeben werden sollen, sollte sie in einer andere Datei eingebettet werden. Dies kann z. B. durch Anlegen einer neuen Excel-Datei erreicht werden (siehe auch M 4.64 Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen ).
  • PostScript
    PostScript ist eine Seitenbearbeitungssprache, die beschreibt, wie Informationen exakt auf Papier oder in entsprechenden Anzeige-Programmen dargestellt werden sollen. Da der PostScript-Befehlssatz neben Anzeigeoptionen auch über (eingeschränkte) Anweisungen verfügt, um Dateien zu ändern, kann es zu Problemen ähnlich wie bei Makro-Viren kommen. Bei Anzeige-Programmen für PostScript handelt es sich um Interpreter, die die PostScript-Sprache abarbeiten. Ab Level 2.0 der PostScript-Spezifikation gibt es auch PostScript-Befehle, um Dateien zu schreiben. Dadurch ist es möglich, PostScript-Dateien zu erzeugen, die während der Bearbeitung durch einen Interpreter, auch bereits bei der Anzeige am Bildschirm, andere Dateien modifizieren, löschen oder umbenennen können.
    Viele der verfügbaren Anzeige-Programme können so aufgerufen werden, dass die Anweisungen aus den zu öffnenden PostScript-Dateien keine Informationen im Dateisystem nach sich ziehen können. Beispielsweise kann bei dem weitverbreiteten Programm ghostscript (gs) die Schreibmöglichkeiten auf Dateien im Dateisystem mit der Option -dSAFER abgeschaltet werden. Generell sollte darauf geachtet werden, dass die eingesetzten Anzeige-Programme nur so aufgerufen werden, dass keine ungewollten Änderungen im Dateisystem vorgenommen werden können.
  • PDF (Portable Document Format)
    Auch PDF-Dateien können präpariert sein und Schadcode enthalten, der Sicherheitslücken ausnutzt. In PDF-Dateien lassen sich Funktionen wie Programmaufrufe einbetten, die ein Sicherheitsrisiko für die Dateien des lokalen IT-Systems darstellen. Häufig wird für solche Angriffe JavaScript verwendet. Vor allem ältere Versionen von PDF-Anwendungen sind für eine solche Infiltration anfällig. Häufig werden die Benutzer dafür auf eine manipulierte Webseite gelockt, wo dann eine präparierte PDF-Datei im Hintergrund geladen wird. Mit dem in der Datei versteckten Code wird Schadsoftware auf dem Rechner des Benutzers installiert. Dafür muss die Datei muss nicht einmal manuell geöffnet werden.
    Antiviren-Programme erkennen infizierte PDF-Datei in vielen, aber nicht in allen Fällen, da die Angreifer den Schadcode ständig variieren. Umso wichtiger ist es, die eingesetzten Anwendungen regelmäßig auf Aktualität zu prüfen und Sicherheitsupdates schnell zu installieren.
    Adobe hat im Adobe Reader ab Version Zehn (Adobe Reader X) eine Sandbox (oder "Geschützter Modus") integriert, um diesen Angriffen entgegen zu wirken. Daher sollten Anwender, die zur Betrachtung und Bearbeitung von PDF-Dokumenten Adobe Reader nutzen, mindestens Version Adobe Reader X einsetzen und den "Geschützten Modus" nutzen.

Aktive Inhalte in PDFs eröffnen Sicherheitsrisiken, werden aber nur selten tatsächlich benötigt. Daher sollte JavaScript in den PDF-Anzeige-Programmen deaktiviert werden.

Die am meisten verwendeten PDF-Betrachter sind Adobe Reader bzw. Acrobat. An Marktführern orientieren sich auch Schadsoftware-Entwickler. Daher kann es auch sinnvoll sein, weniger verbreitete PDF-Betrachter einzusetzen oder zumindest vorzuhalten, um bei akuten Warnmeldungen ausweichen zu können.

  • Schnellspeicherung unter Word
    Word besitzt die Möglichkeit der Schnellspeicherung von erstellten Texten. Dies führt dazu, dass nur die aktuell vorgenommenen Änderungen an einem Dokument gespeichert werden. Dieser Vorgang nimmt nicht so viel Zeit in Anspruch wie ein vollständiger Speichervorgang, bei dem Word das vollständige überarbeitete Dokument speichert. Ein vollständiger Speichervorgang erfordert jedoch weniger Festplattenspeicher als eine Schnellspeicherung.
    Der entscheidende Nachteil der Schnellspeicherung ist aber, dass die Datei unter Umständen Textfragmente enthalten kann, die der Verfasser nicht weitergeben möchte.
    Grundsätzlich sollte daher die Option "Schnellspeicherung zulassen" abgeschaltet werden. Des Weiteren sollte die Option "Erstellung einer Sicherungskopie" aktiviert sein. Das System sollte regelmäßig durch Löschen der nicht mehr benötigten Sicherungskopien gesäubert werden.
    Entscheidet sich der Benutzer trotzdem für die Schnellspeicheroption, sollte er bei folgenden Situationen immer einen vollständigen Speichervorgang durchführen:
  • Sobald die Bearbeitung eines Dokuments abgeschlossen worden ist.
  • Bevor eine Aufgabe ausgeführt wird, die viel Speicherplatz in Anspruch nimmt, z. B. die Suche nach Text oder das Kompilieren eines Indexes.
  • Bevor der Dokumenttext in eine andere Anwendung übertragen wird.
  • Bevor das Dokument in ein anderes Dateiformat konvertiert wird.

Um gegen Konzeptionsschwächen und bekannt gewordene Sicherheitslücken rechtzeitig Maßnahmen ergreifen zu können, sollte sich der Administrator bzw. das Sicherheitsmanagement regelmäßig über solche Probleme informieren (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems ).

Prüffragen:

  • Sind die Benutzer über die Möglichkeiten und Grenzen von Sicherheitsfunktionen der eingesetzten Software und der genutzten Speicherformate informiert?

  • Werden Softwaremerkmale, die den Informationsaustausch vereinfachen sollen von den Sicherheitsvorgaben berücksichtigt?

  • Gibt es Sicherheitsrichtlinien für die Nutzung von Standardsoftware?

Stand: 13. EL Stand 2013