Bundesamt für Sicherheit in der Informationstechnik

M 4.165 Sichere Konfiguration von Outlook

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Allgemeine Empfehlungen

Es wird empfohlen, Einstellungen in der Microsoft Exchange/Outlook-Umgebung soweit wie möglich durch Administratoren vornehmen zu lassen. Nur in Ausnahmefällen, in denen dies nicht möglich ist, sollten die Einstellungen durch Benutzer vorgenommen werden.

Einstellungen, die durch Administratoren zentral vorgegeben werden, müssen vor Änderungen durch Benutzer geschützt werden, so dass diese das vorgegebene Sicherheitsniveau nicht durch Fehlkonfigurationen abschwächen können. Leider ist dies nicht für alle Einstellungen möglich. Besteht diese Möglichkeit, so wird in den nachfolgenden Empfehlungen darauf hingewiesen.

Sichere Konfiguration des zugrunde liegenden Betriebssystems

Als Voraussetzung für eine sichere Konfiguration von Microsoft Outlook ist zunächst das zugrunde liegende Betriebssystem sicher zu konfigurieren. Für die allgemeine Konfiguration und Administration von Clients bietet Windows den Richtlinien-Mechanismus an. Es wird empfohlen, diese Richtlinien zu nutzen, da so eine zentrale Administration erreicht werden kann.

Administrationswerkzeuge

Die Administration bzw. Konfiguration von Microsoft Outlook kann zu unterschiedlichen Zeitpunkten stattfinden: noch vor der eigentlichen Verteilung und Installation von Microsoft Outlook (sogenannte Vorkonfiguration) oder dann, wenn Outlook bereits verteilt ist. Durch Administrationswerkzeuge für Outlook, wie dem Custom Installation Wizard, hat der Administrator beispielsweise die Möglichkeit, eine vorkonfigurierte Version der Outlook-Software für die spätere Verteilung und Installation zentral zu erzeugen.

Für mittlere und große Unternehmen bzw. Behörden wird empfohlen, Administrationswerkzeuge zur Konfiguration und Administration von Outlook-Clients zu verwenden. Der Einsatz von Administrationswerkzeugen erleichtert die Arbeit der Administratoren und verhilft zu einem gleichmäßig hohen Sicherheitsniveau in der Institution. Für kleine Institutionen sollte geprüft werden, ob sich der Einsatz von Administrationswerkzeugen lohnt.

Verwenden von Benutzerprofilen

Sofern mehrere Benutzer einen PC gemeinsam verwenden, kann für jeden Benutzer ein eigenes Outlook-Profil mit den benutzerspezifischen Einstellungen angelegt werden. In diesem Fall sind die unterschiedlichen Outlook-Profile durch den Administrator einzurichten und gegeneinander abzusichern. Die Benutzerprofile können dabei entweder serverseitig oder auf dem Client abgelegt werden.

Es wird generell empfohlen, serverseitige Benutzerprofile zu verwenden. Es muss dabei beachtet werden, dass Offline-Arbeit (bei der die Daten in einer rechnerlokalen Kopie existieren) nicht möglich ist, wenn serverseitige Profile verwendet werden. Wird dies explizit gewünscht, müssen die Outlook-Profile auf dem Client abgelegt werden. Es ist dabei zu beachten, dass Veränderungen am Profil dann jeweils nur für den lokalen Rechner gelten, so dass ein Benutzer unter Umständen auf verschiedenen Rechnern mit unterschiedlichen Profilen arbeitet.

Auch wenn Outlook-Profile lokal abgelegt werden, wird empfohlen, die Benutzerprofile von einem Exchange-Administrator erzeugen und verteilen zu lassen, damit eine sichere und konsistente Vorkonfiguration erfolgen kann.

Outlook-relevante Daten sicher lagern

Outlook-Daten werden in erster Linie im Postfachordner auf dem Exchange-Server gehalten. Es ist jedoch auch möglich, Outlook-Daten lokal auf dem Client zu speichern, wenn z. B. mit Offline-Ordnern ( d. h. mit einer lokalen Kopie des serverseitigen Postfachordners) gearbeitet wird oder wenn der Benutzer lokal eigene persönlichen Ordner angelegt hat. Die auf den Clients gehaltenen Outlook-Daten sind generell einem höheren Risiko ausgesetzt als die serverseitig abgelegten Informationen, da für deren Schutz auch der Benutzer zuständig ist. Dieser muss für eigene persönliche Ordner die Sicherheit (z. B. Dateizugriffsrechte) selbst konfigurieren. Es ist deshalb in der Sicherheitsrichtlinie für Outlook festzulegen, ob Outlook-Daten auf den Benutzersystemen gehalten werden dürfen oder nicht. Es wird empfohlen, Outlook-Daten prinzipiell nicht clientseitig zu speichern. Dies schließt jedoch auch aus, dass mit Offline-Ordnern gearbeitet wird.

Kann auf das Arbeiten mit Offline-Ordnern nicht verzichtet werden, so sind die folgenden Empfehlungen für den Schutz der lokal abgelegten Outlook-Ordner zu berücksichtigen. Outlook speichert Informationen in persönlichen Ordnern (.pst-Dateien) sowie im Offline-Ordner (.ost-Dateien), die in diesem Fall auf der lokalen Festplatte des Clients liegen. Es ist zu beachten, dass zusätzlich Daten in den Systemverzeichnissen, den Installationsverzeichnissen von Outlook sowie in den Windows Benutzerprofilen abgelegt werden. Diese sind daher mit restriktiven Zugriffsrechten zu versehen.

Lokale Outlook-Ordner verschlüsseln

Es wird empfohlen, lokale Outlook-Ordner (d. h. persönliche Ordner und Offline-Ordner) zu verschlüsseln. Grundsätzlich ist hier die Maßnahme M 4.131 Verschlüsselung von Lotus Notes Datenbanken umzusetzen.

Als zusätzlicher Schutz wird empfohlen, den Offline-Ordner bzw. persönliche Ordner in einem eigenen Verzeichnis zu speichern und dieses mit restriktiven Zugriffsrechten zu versehen. Das Verzeichnis sollte nur für den jeweiligen Benutzer zugreifbar sein.

Kennwortschutz der lokalen persönlichen Outlook-Ordner nicht nutzen

Für die persönlichen Ordner kann ein Kennwortschutz aktiviert werden, dessen Verwendung jedoch wenig sinnvoll ist. Dieser Kennwortschutz ist schwach und kann mit im Internet verfügbaren Werkzeugen ausgehebelt werden.

Verlangt die Sicherheitsrichtlinie der Institution zusätzlich, dass bestimmte Passwörter hinterlegt werden müssen, so steht der mit dem Kennwortschutz verbundene Sicherheitsgewinn in keinem Verhältnis zum administrativen Aufwand.

Von der Verwendung des Kennwortschutzes wird deshalb abgeraten.

Zugriffsberechtigungen auf zentrale Outlook-Ordner

In einer Exchange-Umgebung können persönliche Ordner für andere Benutzer zugreifbar gemacht werden. Es wird generell empfohlen, Zugriffsberechtigungen restriktiv zu vergeben, so dass nur die unbedingt notwendigen Berechtigungen bestehen. Als sichere Grundeinstellung wird empfohlen, nur dem Besitzer und dessen Vertreter den Zugriff zu gestatten.

Sicherer Umgang mit dem Outlook Journal

Das Journal erfasst auf einer Zeitskala Aktivitäten, die mit Outlook durchgeführt wurden. Dazu gehören nicht nur gesendete und empfangene E-Mails, Termine und Aufgaben, sondern auch Aktivitäten im Zusammenhang mit Kontakten und Office-Dokumenten.

Journaleinträge können manuell erstellt oder auch automatisch generiert werden. Aus Sicherheitssicht muss beachten werden, dass die im Journal eingetragenen oder automatisch generierten Einträge vertrauliche Informationen und Datei-Verknüpfungen enthalten können. Daher wird empfohlen, Einträge nicht automatisch zu erzeugen.

Im Rahmen der organisatorischen Sicherheitsrichtlinien sollte festgelegt werden, welche Dateien als Verknüpfungen in den Journaleinträgen zugelassen sind.

Schutz persönlicher Daten gegenüber Systemadministratoren

Lokal gehaltene persönliche Outlook-Daten (.pst-Dateien) sind durch Administratoren jederzeit einsehbar. Vertraulichkeit gegenüber den Administratoren kann daher nur durch Verschlüsselung erreicht werden.

Beim Einsatz eines dateibasierten Verschlüsselungssystems wird empfohlen, eine Sicherheitsrichtlinie für das Hinterlegen der verwendeten Schlüssel zu definieren, damit der Zugriff auf die verschlüsselten Daten in Notsituationen möglich ist.

Authentisierung

Es wird empfohlen, nicht auf die automatischen Anmeldeverfahren der eingesetzten Microsoft Betriebssysteme zurückzugreifen. In diesem Fall wird der Benutzer beim Zugriff auf den Exchange Server explizit aufgefordert, seinen Benutzernamen und sein Passwort anzugeben. In keinem Fall darf das Benutzerkennwort gespeichert werden. Anderenfalls besteht die Gefahr, dass die gespeicherten Kennwörter bei einem lokalen Zugriff auf das Benutzersystem mit öffentlich im Internet verfügbaren Werkzeugen ausgelesen werden.

Verschlüsselung der Kommunikation

Wenn Outlook als MAPI -Client eines Exchange-Servers eingesetzt wird, kann die in diesem Fall genutzte RPC-Kommunikation (Remote Procedure Call) zwischen Client und Exchange-Server durch Verschlüsselung geschützt werden. Ob diese Kommunikationsverschlüsselung genutzt wird, muss durch die Sicherheitsrichtlinie für Outlook festgelegt werden.

Die Verschlüsselung ist besonders dann zu empfehlen, wenn die Kommunikation zwischen den Outlook-Clients und dem Exchange-Server über unsichere Netze erfolgt.

Umgang mit potentiell gefährlichen Dateianhängen

Dateianhänge dürfen prinzipiell nicht automatisch aus E-Mails heraus geöffnet werden.

Generell wird der Einsatz eines Filters auf einem E-Mail-Gateway oder einem Sicherheitsgateway (Firewall) empfohlen, um E-Mails auf potentiell gefährliche E-Mail-Anhänge zu kontrollieren und diese, wenn nötig, In Quarantäne zu verschieben oder zu löschen. Wird jedoch E-Mail-Verschlüsselung eingesetzt, so sind die auf einem E-Mail-Gateway eingesetzten Filter nicht mehr wirksam. In diesem Fall können E-Mail-Filter auf den Clients eingesetzt werden, die E-Mails nach der Entschlüsselung kontrollieren. Ob lokale E-Mail-Filter eingesetzt werden, muss im Einzelfall entschieden werden. Es ist zu beachten, dass hierdurch zusätzlicher Administrationsaufwand für die Verteilung, Installation und Wartung der Filter-Software entsteht.

Der zusätzliche Einsatz sogenannter Personal Firewalls auf den Clients kann das erreichbare Sicherheitsniveau erhöhen. Diese erlauben Beschränkungen für das Ausführen auf Betriebssystemebene und stellen für ausführbare E-Mail-Anhänge Quarantäne-Bereiche oder Sandboxen (d. h. kontrollierte Ablaufumgebungen) zur Verfügung. Auch hier muss der Einsatz eines solchen Produktes sorgfältig geprüft werden, da zusätzlicher Administrationsaufwand anfällt.

Vom Einsatz lokal installierter Produkte, wie E-Mail-Filter oder Personal Firewalls, wird abgeraten, wenn:

  • diese nicht zentral konfiguriert und administriert werden oder
  • die vorgegebene Konfiguration durch den Benutzer geändert werden kann oder
  • die Konfiguration sogar durch den Benutzer erfolgen muss.

Vorschaufenster deaktivieren

Wird das Vorschaufenster bzw. die Autovorschau von Outlook genutzt, werden E-Mails automatisch angezeigt und damit die in ihnen vorhandenen aktiven Inhalte automatisch ausgeführt. Es wird daher empfohlen, das Vorschaufenster und die Autovorschau zu deaktivieren.

Sicherheitseinstellungen für die Makroverarbeitung in Outlook

Es wird empfohlen, nur signierte Makros auszuführen, deren Signaturen mit Hilfe bestimmter Zertifikate überprüft werden konnte. Es muss beachtet werden, dass auch hier auf die sogenannten Authenticode-Einstellungen des Microsoft Internet Explorers zurückgegriffen wird. Änderungen wirken sich dadurch auf alle Programme aus, die diese Einstellungen nutzen.

Es wird empfohlen, die Liste der vertrauten Herausgeber zentral zu verwalten und diese mittels Windows-Gruppenrichtlinien zu verteilen. Die zugehörige Richtlinie ist eine Benutzerrichtlinie, so dass für verschiedene Benutzer-Gruppen unterschiedliche Voreinstellungen festgelegt werden können. Es muss sichergestellt werden, dass die Voreinstellungen gegen Veränderungen durch den Benutzer gesperrt sind. Es muss beachtet werden, dass die Makro-Einstellungen nur für VBA-Makros gelten, also für mit Visual Basic for Applications (VBA) erstellte Makros, nicht jedoch für Visual Basic Script.

Dürfen Benutzer die Liste der vertrauenswürdigen Herausgeber selbst aufbauen und verändern, so zeigt sich folgendes Verhalten: Wird ein signiertes VBA-Makro geöffnet und befindet sich das zugehörige Zertifikat nicht in der Liste der vertrauenswürdigen Quellen, kann der Benutzer entscheiden, ob das Zertifikat in die Liste aufgenommen werden soll oder nicht. Einträge in der Liste vorhandener Zertifikate können auch durch den Benutzer gelöscht werden. Diese Entscheidungen sind sicherheitsrelevant und sollten in der Regel nicht von den Benutzern getroffen werden. Für den Einsatz in Unternehmen und Behörden wird dieses Vorgehen daher nicht empfohlen.

Die Entwicklung eigener Makro-Erweiterungen wird in M 2.379 Software-Entwicklung durch Endbenutzer behandelt.

Konfiguration der E-Mail-Filterregeln

Unerwünschte E-Mails wie Spam-Mails können das produktive Arbeiten stören. Outlook bietet die Möglichkeit, solche unerwünschten E-Mails mittels spezieller Filterregeln auszufiltern. Es wird jedoch empfohlen, Filtereinstellungen nicht durch Benutzer in der Outlook Client-Software vornehmen zu lassen, sondern das Filtern auf dem Server durchzuführen. Dies hat den Vorteil, dass alle E-Mails konsistent gefiltert werden und beschränkt den administrativen Aufwand auf einen definierten Punkt. Ist eine serverseitige Filterung nicht erwünscht, so wird empfohlen, dass der Administrator die Filterregeln zentral erzeugt.

Restriktive Stellvertreterberechtigungen

Outlook/Exchange erlaubt es, für Zeiten der Abwesenheit (z. B. Urlaub oder Krankheit) Stellvertreter zu definieren, die dann die Bearbeitung von E-Mails im Namen des Benutzers übernehmen können. Diese Stellvertreter erhalten Zugriff auf das Postfach bzw. einzelne Outlook-Ordner des jeweiligen Benutzers und können "im Auftrag" E-Mails verschicken. Die Zugriffsberechtigungen für Stellvertreter können für die einzelnen Bestandteile des Outlook-Ordners (Kalender, Kontakte, Posteingang etc. ) separat vergeben werden. Die Konfiguration erfolgt in den jeweiligen Objekteigenschaften. Die Stellvertreter-Regelungen sollten in den unternehmens- bzw. behördenweiten Richtlinien verankert sein.

E-Mails nicht automatisch weiterleiten und verschieben

Der Regelassistent, mit dem die Filterregeln eingestellt werden, kann auch benutzt werden, um E-Mails automatisch an andere Benutzer weiterzuleiten . Durch unbedacht eingerichtete Weiterleitungen besteht jedoch die Gefahr des Daten- bzw. Vertraulichkeitsverlustes. Dies kann z. B. dann vorkommen, wenn E-Mails unerwartet vertrauliche Mitteilungen enthalten und aufgrund falscher Regeln an Dritte weitergeleitet werden. Es wird daher empfohlen, E-Mails nicht automatisiert weiterzuleiten.

Erweiterte Funktionalität von Outlook deaktivieren

Der Outlook-Formulardesigner stellt eine Entwicklungsumgebung für Workflow-Anwendungen auf Basis von Outlook-Verzeichnissen dar. Hierdurch können Sicherheitsprobleme entstehen, da dem Formularentwickler z. B. ActiveX-Steuerelemente zur Verfügung stehen. Normale E-Mail-Anwender benötigen diese Möglichkeit nicht. Es wird daher empfohlen, den Outlook-Formulardesigner auf den Clients zu deaktivieren.

Nutzung von Folder-Add-Ins und COM-Add-Ins untersagen

Outlook gestattet es seinen Benutzern standardmäßig, selbständig Add-Ins zu installieren, um den Funktionsumfang von Outlook zu erweitern. Da dabei in der Regel ausführbarer Code in Form von EXE- oder DLL-Dateien eingebunden wird, müssen Erweiterungen immer zur Verwendung freigegeben werden.

Es muss organisatorisch geregelt werden, dass Benutzer keine eigenen Add-Ins aus dem Internet laden und verwenden.

Ordner Gelöschte Objekte automatisch Leeren

Wird der Ordner gelöschte Objekte automatisch geleert, wenn Outlook beendet wird, so hat dies Vor- und Nachteile. Der Hauptvorteil liegt darin, dass der Ordner dann keine "gelöschten" vertraulichen Daten enthält und kein zusätzlicher Speicherplatz verbraucht wird. Der wesentliche Nachteil besteht darin, dass dadurch Daten verloren gehen können. In Umgebungen, in denen häufig vertrauliche Daten über E-Mail ausgetauscht werden, sollte der Ordner gelöschte Objekte automatisch geleert werden.

Umgang mit Sondernachrichten

Automatisierte Lese- und Empfangsbestätigungen können zu - gegebenenfalls unbeabsichtigten - Denial-of-Service-Angriffen führen. Sofern die E-Mail-Richtlinie einer Organisation nicht explizit die Verwendung von E-Mail-Bestätigungen vorsieht, wird empfohlen, auf Lese- und Empfangsbestätigungen zu verzichten.

Automatisch generierte Abwesenheitsnachrichten übermitteln zum einen die Information der Abwesenheit eines Mitarbeiters nach außen und können zum anderen als ein Ansatzpunkt für einen Denial-of-Service-Angriff genutzt werden. Es ist deshalb organisationsintern festzulegen, ob diese Funktionalität genutzt werden soll.

Word als E-Mail-Editor vermeiden

Unter Microsoft Outlook wird Word standardmäßig als E-Mail-Editor genutzt. Da auch Word-Makros ein Sicherheitsproblem darstellen können, wird davon abgeraten, Microsoft Word als E-Mail-Editor zu nutzen. In der Behörde bzw. im Unternehmen sollte durch eine Richtlinie einheitlich geregelt sein, welcher Editor für E-Mails genutzt wird.

Weitere Aspekte

Wird eine E-Mail-Verschlüsselung wie S/MIME eingesetzt, so werden die verschlüsselten Nachrichten in der Regel auch verschlüsselt in das Backup übernommen. Um sicherzustellen, dass später auf diese Informationen zugegriffen werden kann, z. B. im Rahmen einer Reparaturmaßnahme nach einem Notfall, müssen die verwendeten Schlüssel ebenfalls in die Datensicherung einbezogen werden. Weitere Informationen hierzu finden sich in M 6.82 Erstellen eines Notfallplans für den Ausfall von Exchange-Systemen.

Entfernen schutzbedürftiger Detailinformationen aus eigenen E-Mail-Headern

Die Header ausgehender E-Mails können Informationen beinhalten, welche nach Möglichkeit nicht nach außen gegeben werden sollten. Dazu zählen beispielsweise Informationen zum Betriebssystem und zur E-Mail-Software des eingesetzten E-Mail-Servers. Serverseitig können Detailinformationen entfernt werden, siehe auch M 4.162 Sichere Konfiguration von Exchange-Servern .

Einsatz eines Virenscanners

Der Einsatz eines Viren-Schutzprogramms wird in jedem Fall empfohlen. Den größten Schutz bietet dabei eine kombinierte Gateway-Client-Lösung, die sowohl server- als auch clientseitige Komponenten beinhaltet. Es muss gewährleistet sein, dass alle Dateianhänge einer E-Mail geprüft werden. Dies gilt auch für komprimierte oder verschlüsselte Anhänge.

Software- und Systempflege

Die zuständigen Administratoren sollten sich regelmäßig im Internet über neu entdeckte Schwachstellen in Exchange/Outlook informieren. Die verfügbaren Patches sollten zunächst innerhalb einer Testumgebung und dann für den Produktivbetrieb eingespielt werden.

Außerdem empfiehlt es sich, für die konkrete Umsetzung der Anforderungen aus dieser Maßnahme die Informationen aus dem Microsoft Technet hinzuziehen. Beispielsweise wird die sichere Konfiguration von Microsoft Outlook 2010 im Sicherheitsleitfaden zu Microsoft Office 2010 vorgestellt: "Security and protection for Office 2010 Beta". Sicherheitsanforderungen ergeben sich direkt aus den Anleitungen für Administratoren für Microsoft Outlook unter "Configuration and deployment of Office 2010 Beta".

Prüffragen:

  • Werden Änderungen von administrativen Einstellungen von Outlook durch Benutzer verhindert?

  • Ist der Umgang mit Benutzerprofilen für Outlook geregelt?

  • Werden Anhänge so behandelt, dass diese nicht automatisch geöffnet werden?

Stand: 13. EL Stand 2013