Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich Microsoft Office vorgenommen und herausgefunden, was die besten Einstellungen hinsichtlich Sicherheit, Datenschutz und Funktionalität sind. Angewendet werden diese Einstellungen per Gruppenrichtlinien. In diesem Beitrag stellen wir die Empfehlungen des BSI vor und erklären ausführlich, wie Sie diese Einstellungen für Ihr Office umsetzen können.
So sieht ein sicheres Office aus
Sicherheit, Datenschutz und Komfort vertragen sich meist nicht gut miteinander. Wenn Sie sich etwa einen Text in Word in eine andere Sprache übersetzen lassen, ist das sehr komfortabel. Doch Word lädt den Text dafür auf Microsoft-Server, wo er grundsätzlich für Microsoft einsehbar ist. Wenn Sie diese Funktion deaktivieren, erhöhen Sie den Datenschutz, verlieren aber Komfort. Das BSI selbst weist ausdrücklich darauf hin, dass es sich bei den empfohlenen Einstellungen um einen Kompromiss zwischen Datenschutz, Sicherheit und Funktionalität handelt. Im Fokus stehen bei den BSI-Empfehlungen mittelgroße und große Firmen. Wir sehen dabei allerdings eine große Deckung mit den Bedürfnissen eines Privatanwenders. Auch dieser möchte produktiv arbeiten und entsprechende Online-Funktionen von Office nutzen, ohne deswegen auf ein sicheres Outlook verzichten zu müssen.
Dennoch bleiben die Vorlagen des BSI ein Kompromiss – für Firmen genauso wie für den Nutzer zu Hause. Prüfen Sie also die genannten Einstellungen, ob Sie bei Ihrem Office die Zügel nicht doch fester anlegen wollen – oder mehr erlauben möchten.
Voraussetzung: Windows Pro
Es müssen vier Voraussetzungen erfüllt sein, damit Sie die BSI-Empfehlungen umsetzen können.
1. Windows Pro: Sie benötigen Windows Pro 7, 8 oder 10. Die Pro-Version ist nötig, da die Einstellungen per Gruppenrichtlinien umgesetzt werden. Und diese benötigen das Tool „Editor für Gruppenrichtlinien“ (Befehl gpedit.msc), das nur in der Pro-Version funktioniert.
2. Office: Außerdem benötigen Sie Microsoft Office 2013, 2016 oder 2019. Das BSI weist darauf hin, dass einige Einstellungen auf Office 2013 keine Auswirkung haben, da es die entsprechende Funktion in dieser Version noch nicht gibt. In unserem Test funktionierten die Einstellungen auch für Office 365. Allerdings kommen bei dieser Abo-Version laufend neue Funktionen hinzu, sodass sich durch ein Update die Sicherheitskonfiguration ändern kann.
3. BSI-Empfehlungen: Seine Vorschläge bietet das BSI in sieben PDF-Dateien an.
4. Gruppenrichtlinien-Vorlagen: Von Microsoft selber stammen die Gruppenrichtlinien-Vorlagen, die per ADMX-Dateien daherkommen ( Download). Es gibt sie für 32- und 64-Bit-Systeme. In den Gruppenrichtlinien ist an fast allen Stellen in den Beschreibungstexten nur von „Office 2016“ die Rede. Dennoch gelten die Richtlinien offiziell auch für Office 2019 und 365. Microsoft hat sich einfach die Arbeit erspart, die Angaben in den Texten zu korrigieren. Laut BSI funktionieren die Regeln zudem auch für Office 2013, wenn auch mit kleinen Einschränkungen.
Der Gruppenrichtlinien-Editor
Microsoft gibt Administratoren Gruppenrichtlinien an die Hand, um damit beliebig viele PCs auf einen Schlag konfigurieren zu können. Die Gruppenrichtlinien werden in diesem Fall auf einem Server verwaltet und von diesem aus an die PCs verteilt. Auf Englisch wird eine Gruppenrichtlinie „Group Policy Object“ genannt, weshalb in Fachtexten oft die Abkürzung GPO auftaucht. Eine einzelne Richtlinie steuert eine Einstellung einer Windows-Funktion oder -anwendung. Gruppenrichtlinien-Vorlagen, wie Sie sie von Microsoft herunterladen können, sind ein ganzes Bündel von Richtlinien.
In unserem Fall steuern die Microsoft-Vorlagen für Office über 3000 Einstellungen für das Büropaket. Das BSI hat daraus 457 Richtlinien für eine sichere Konfiguration herausgesucht. Grundsätzlich funktioniert die Nutzung der Richtlinien auch ohne Server, denn das Tool „Editor für Gruppenrichtlinien“ ist in jedem Windows Pro integriert. Starten Sie die Software unter Windows 10, indem Sie in das Suchfeld gpedit eingeben und dann „Gruppenrichtlinie bearbeiten“ aus dem Menü auswählen. Alternativ geben Sie die Tastenkombination Windows-R ein und dann gpedit.msc eingeben.
Wir gehen hier von einem Heim-PC aus, der an keinen Firmen-Server angeschlossen ist. Im Editor für Gruppenrichtlinien finden sich dann links unter dem Eintrag „Richtlinien für Lokaler Computer“ die Punkte „Computerkonfiguration“ und „Benutzerkonfiguration“, die weitere Unterordner enthalten. Die Wege zu diesen Einträgen bis hin zu einer Regel beschreiben wir wie Menübefehle, etwa „Benutzerkonfiguration –› Administrative Vorgaben –› Startmenü und Taskleiste –› Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren“. Das ist ein Beispiel für eine Gruppenrichtlinie, die eine Einstellung von Windows betrifft. Es geht um die Liste der zuletzt geöffneten Dateien und Ordner. Diese Liste können Sie sich unter „C:\User\[Benutzername]\Recent“ im Windows-Explorer anzeigen lassen.
Wer nicht möchte, dass Windows diese Information über das Nutzerverhalten speichert, lässt die Liste bei jedem Herunterfahren von Windows löschen. Das geht über die eben genannte Richtlinie „Benutzerkonfiguration –› Administrative Vorgaben –› Startmenü und Taskleiste –› Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren“. Wählen Sie dort „Aktiviert“ und bestätigen Sie mit „OK“. Diese Gruppenrichtlinie ist bereits in Windows integriert. Die Richtlinien für Office müssen Sie zuerst von Microsoft herunterladen, entpacken und in das richtige Verzeichnis kopieren.
Das Entpacken der Gruppenrichtlinie geht über einen Doppelklick auf die Datei admintemplates_x64_4888-1000_en-us.exe für 64-Bit-Systeme, wobei Sie den Ordner angeben können, in dem der Inhalt gespeichert werden soll. Wechseln Sie in diesen Ordner und dann in das Verzeichnis „ADMX“. Darin markieren Sie alle Dateien mit der Endung .ADMX und den Ordner „dede“. Diese Auswahl kopieren Sie in den Ordner C:\Windows\PolicyDefinitions (oder %SYSTEMROOT%\PolicyDefinitions).
Bei diesen ADMX-Dateien (Administrationsdateien) handelt es sich um die Vorlagendateien für Office, die wirksam sind, sobald Sie sie in den Ordner PolicyDefinitions kopiert haben. Bearbeiten lassen sie sich mit dem genannten „Editor für Gruppenrichtlinien“, der intern auch „Gruppenrichtlinienobjekt- Editor“ genannt wird.
Technik-Trends 2019:Digitale Sicherheit
BSI-Tabelle in PDF-Form
Am Ende dieses Beitrags haben wir die Empfehlungen des BSI zu Einstellung der Gruppenrichtlinien für Office auszugsweise angefügt. Die Daten entsprechen dem Inhalt des PDFs „ Sichere Konfiguration von Microsoft Office 2013/2016/2019“ mit dem Dateinamen BSI-CS_135.pdf. Es stellt für alle Anwendungen von Office grundlegende Weichen in Sachen Sicherheit. Entsprechend lohnt es sich, sich die Empfehlungen dieses Dokuments anzusehen. Für die sechs Einzelprogramme Access, Excel, Outlook, Powerpoint, Visio und Word gibt es eigene PDFs.
Vorsicht bei Änderungen
Die BSI-Empfehlungen für die sichere Konfiguration stellen ein gutes Gesamtpaket dar. Die einzelnen Richtlinien haben dabei unterschiedlich große Auswirkungen auf Ihr Office. So hat etwa die Empfehlung Nummer 46 „Veröffentlichen auf einem DAV-Server verhindern“ aus den Richtlinienempfehlungen für Outlook keinen Einfluss auf die meisten privaten Installationen. Es sei denn, Sie haben sich Ihren Outlook-Kalender auf einen Onlineserver ausgeleitet. Doch auch wenn diese Einstellung bei Ihnen keine Auswirkung hat, ist es sinnvoll, sie zu aktivieren. Denn dann kann auch kein Schadcode Ihren Kalender auf einen DAV-Server ausleiten.
Andere Einstellungen haben auf Heim-Installationen ebenfalls keine sinnvolle Auswirkung, sollten aber nicht gesetzt werden. So etwa die BSI-Empfehlung Nummer 68 „Alle E-Mail-Nachrichten signieren“ aus den Richtlinienempfehlungen für Outlook. Denn die meisten Heiminstallationen haben kein Zertifikat fürs Signieren einer Mail installiert. Wer diese Empfehlung aktiviert, erhält beim Versand einer Mail eine Fehlermeldung und kann die Nachricht nicht abschicken. Das klappt erst dann wieder, wenn Sie die Richtlinie zurück auf „Deaktiviert“ oder „Nicht konfiguriert“ gesetzt haben.
Darum gilt grundsätzlich: Ändern Sie nur die Richtlinien, die Sie auch verstehen.
Wichtige Beschreibungstexte
Der Name einer Regel ist meist nur ein paar Wörter lang. In vielen Fällen reicht das nicht aus, um ihre Aufgabe zu verstehen. Gehen Sie in diesen Fällen im Gruppenrichtlinien-Editor zur genannten Regel und klicken Sie diese an. Es erscheint ein Beschreibungstext, der meist Klarheit in die Auswirkungen der Regel bringt. Zumindest wir fanden es dabei hilfreich, sowohl den Absatz zur Wirkung bei „Aktivieren“ als auch den bei „Deaktivieren“ zu lesen.
Falls sich auch dann die Auswirkung der Regel nicht erschließt und auch eine Google-Suche nicht weiterhilft, kann man von einer Änderung entweder die Finger lassen oder Sie notieren sich den Schlüssel in einer separaten Liste. Sollte Office dann mal nicht wie gewünscht reagieren, können Sie auf diese Liste zurückgreifen und die gemachten Änderungen testweise zurücknehmen. Das funktioniert allerdings auch nur dann, wenn diese Liste nicht zu viele Einträge hat.
Große Hebel für mehr Sicherheit
Das BSI hat aus über 3000 rund 460 Regeln herausgesucht. Davon sind für typische Office-Installationen zu Hause vielleicht rund 150 bis 200 Regeln sinnvoll. Welche das sind, hängt jedoch von Ihrer Nutzung und Konfiguration ab, weshalb wir keine weitere Eingrenzung des Regelsatzes vornehmen können. Was uns aufgefallen ist, sind ein paar große Hebel für die Konfiguration. Es sind die BSI-Empfehlungen 56 bis 59 für Office im Dokument BSI-CS_135.pdf. Es geht um die Regeln für „verbundene Erfahrungen“. So können Sie etwa Regel 56 „Die Verwendung verbundener Erfahrungen in Office zulassen“ deaktivieren und haben damit die Übersetzungsfunktion in allen Office-Anwendungen ebenso deaktiviert wie etliche weitere Onlinefunktionen. Was alles hinter den „verbundenen Erfahrungen“ steckt, verrät Microsoft hier. Natürlich ist bei einem so großen Hebel auch der Verlust an Komfort und Funktionalität besonders groß. Entsprechend bleiben beim BSI die „verbundenen Erfahrungen“ aktiviert.
Mehr Sicherheit für Outlook gemäß BSICS_139.pdf: Unterhalb von „Benutzerkonfiguration –› Administrative Vorlagen –› Microsoft Outlook 2016 –› Sicherheit“ konfigurieren Sie den Schutz für Ihr Outlook. Die Sicherheitseinstellungen für Makros finden Sie an dieser Stelle im Unterordner „Trust Center“ und den BSI-Empfehlungen 109 bis 111. Doch auch die übrigen Empfehlungen haben allesamt Auswirkungen auf die Sicherheit von Outlook. So verhindert Empfehlung 25 „Alle nicht verwalteten Add-ins blockieren“, dass sich heimlich ein verseuchtes Add-in einschleicht. Allerdings geht das zulasten des Komforts, denn wenn Sie diese Richtlinie aktivieren, können auch Sie selber kein Add-in installieren.
Empfehlung: So gehen Sie vor
Sie profitieren am besten von den BSI-Einstellungen, wenn Sie sich alle 457 Vorgaben ansehen und die für Sie passenden umsetzen. Das ist allerdings eine sehr zeitaufwendige Arbeit. Wer nicht so viel Zeit investieren möchte, sollte sich zumindest die BSI-Empfehlungen zu Office (Dokument BSI-CS_135.pdf) ansehen und die persönlich interessanten Einstellungen übernehmen. Darüber hinaus kommt es darauf an, mit welcher Anwendung Sie außerdem arbeiten. Wenn Sie Microsoft Projekt nicht verwenden, müssen Sie die Richtlinien auch nicht konfigurieren. Nutzen Sie aber noch Outlook (Dokument BSI-CS_139.pdf) und Excel ( BSI-CS_136.pdf), lohnt sich bestimmt auch ein Blick in diese Listen.
Alles rückgängig machen:Sollte eine Office-Anwendung nach dem Aktivieren der neuen Richtlinien nicht mehr wie gewünscht funktionieren und Sie wissen nicht, welche Richtlinie genau schuld daran ist, dann können Sie auch einfach die Gruppenrichtliniendatei aus dem Ordner C:\Windows\Policy-Definitions verschieben oder löschen. Sollte etwa Outlook betroffen sein, verschieben Sie die Datei outlk16.admx; ist Word betroffen, wählen Sie word16.admx. Sollte das nicht helfen, verschieben oder löschen Sie office16.admx, also die Gruppenrichtlinienvorlage, die Änderungen für alle Office-Anwendungen vornimmt.
Und zum Schluss noch ein Hinweis des BSI: „Die Konfiguration der Gruppenrichtlinien hilft nur dabei, die Angriffsfläche [...] zu verringern.“ Ein Restrisiko bleibt bestehen.
Microsoft Office sicher konfigurieren
Empfehlungen des BSI für eine sichere Konfiguration von Microsoft Office per Gruppenrichtlinien-Editor (gekürzte Fassung von BSI-CS_135.pdf)
|
| Nicht Standard | Einstellung |
Computerrichtlinien | |||
Aktualisierungen |
|
| |
1. | Automatische Updates aktivieren |
| Ja |
2. | Aktualisierungspfad | x | Pfad zum Speicherort |
3. | Option zum Aktivieren oder Deaktivieren von Updates ausblenden | x | Ja |
4. | Upgrade von Office 2019 auf Office 365 (nicht in Office 2013 verfügbar) |
| Nein |
|
|
|
|
Sicherheitseinstellungen | |||
5. | Grafikfilterimport |
| Nein |
6. | Kennwortzwischenspeicherung deaktiviert |
| Nein |
7. | VBA für Office-Anwendungen deaktivieren | x | Ja |
8. | Paketreparatur deaktivieren |
| Nein |
Sicherheitseinstellungen > IE-Sicherheit | |||
9. | ActiveX-Installation einschränken | x | Ja |
10. | Dateidownload einschränken | x | Ja |
11. | Add-On-Verwaltung | x | Ja |
12. | Sperrung der Zone des lokalen Computers | x | Ja |
13. | Konsistente MIME-Verarbeitung |
| Ja |
14. | Sicherheitsfeature für MIME-Ermittlung | x | Ja |
15. | Objektzwischenspeicherungsschutz | x | Ja |
16. | Sicherheitseinschränkungen für Skriptfenster | x | Ja |
17. | Schutz vor Zonenanhebung | x | Ja |
18. | Informationsleiste | x | Ja |
19. | Benutzername und Kennwort deaktivieren | x | Ja |
20. | Binden an Objekt | x | Ja |
21. | Gespeichert von URL | x | Ja |
22. | URL navigieren | x | Ja |
|
|
|
|
Benutzerrichtlinien | |||
Dokumentinformationsbereich | |||
23. | Dokumenteninformationsbereich für Signal übertragende Elemente der Benutzeroberfläche | x | Benutzeroberfläche immer anzeigen |
24. | Dokumenteninformationsbereich deaktivieren | x | Ja |
Add-Ins Microsoft „Speicher als PDF“ und „Speichern als XPS“ | |||
25. | Einschließen von Dokumenteigenschaften in PDF- und XPS-Ausgabe deaktivieren | x | Ja |
Eingeschränkte Berechtigungen verwalten | |||
26. - 31. | Anmerkung von PC-WELT: Diese Richtlinien bestimmen Nutzerrechte überwiegend in Unternehmenskonfigurationen. Sie finden die Richtlinien im PDF BSI-CS_135.pdf | ||
Telemetriedashboard | |||
32. | Telemetrie-Datensammlung aktivieren |
| Nein |
33. | Datenschutzeinstellungen im Office-Telemetrie-Agent aktivieren | x | Ja |
34. | Hochladen von Daten für den Office-Telemetrie-Agent |
| Nein |
Smart Document‘s (Word, Excel) | |||
35. | Manifestverwendung durch Smart Document's deaktivieren | x | Ja |
Signieren | |||
36. - 39. | Anmerkung von PC-WELT: Diese Richtlinien betreffen Signaturen. Sie finden die Richtlinien im PDF BSI-CS_135.pdf | ||
Servereinstellungen | |||
40. | Abrufen veröffentlichter Hyperlinks von Sharepoint Server durch den Office-Client deaktivieren | x | Ja |
Verschiedenes | |||
41. | Onedrive-Anmeldung anzeigen | x | Nein |
42. | Screenshots nicht automatisch mit einem Link versehen | x | Ja |
43. | Anmeldung bei Office blockieren | x | Ja |
44. | Steuerelementbloggen | x | Ja |
Globale Optionen > Benutzerdefiniert | |||
45. | Alle Benutzeranpassungen deaktivieren | x | Ja |
46. | Benutzeroberflächenerweiterung von Dokumenten und Vorlagen deaktivieren | x | Ja |
Online präsentieren | |||
47. | Office-Präsentationsdienst aus der Liste der Onlinepräsentationsdienste in Powerpoint und Word entfernen | x | Ja |
48. | Einschränken des programmgesteuerten Zugriffs für das Erstellen von Onlinepräsentationen in Powerpoint und Word | x | Ja |
49. | Verhindern, dass Benutzer Onlinepräsentationsdienste in Powerpoint und Word hinzufügen können |
| Ja |
Online präsentieren > Präsentationsdienste | |||
50. | Präsentationsdienst in PowerPoint und Word konfigurieren #1 bis #10 |
| Nein |
Datenschutz > Trust Center | |||
51. | Einschließen eines Screenshots in das Office-Feedback zulassen | x | Nein |
52. | Bestätigungsassistenten bei der ersten Ausführung deaktivieren | x | Ja |
53. | Automatisches Empfangen kleiner Updates zur Verbesserung der Zuverlässigkeit | x | Nein |
54. | Programm zur Verbesserung der Benutzerfreundlichkeit aktivieren | x | Nein |
55. | Office-Feedback senden | x | Nein |
56. | Die Verwendung verbundener Erfahrungen in Office zulassen (nicht für Office 2013 verfügbar) | x | Getrennt |
57. | Die Verwendung verbundener Erfahrungen, die Inhalt analysieren, in Office zulassen (nicht für Office 2013 verfügbar) | x | Deaktiviert |
58. | Die Verwendung verbundener Erfahrungen, die Onlineinhalte herunterladen, in Office zulassen (nicht für Office 2013 verfügbar) | x | Deaktiviert |
59. | Die Verwendung zusätzlicher optionaler verbundener Erfahrungen in Office zulassen (nicht für Office 2013 verfügbar) | x | Deaktiviert |
60. | Stufe der von Office an Microsoft gesendeten Clientsoftware-Diagnosedaten konfigurieren (nicht für Office 2013 verfügbar) | x | Weder noch |
61. | Persönliche Informationen senden (nicht in Office 2013 verfügbar) | x | Nein |
Dienste | |||
62. | Office-Roamingbenutzereinstellungen deaktivieren | x | Ja |
Dienste > Fax | |||
63. | Internetfaxfeature deaktivieren | x | Ja |
Extras | Optionen | Allgemein | Dienstoptionen > Onlineinhalte | |||
64. | Onlineinhalteoptionen | x | Ja |
Extras | Optionen | Allgemein | Weboptionen > Dateien | |||
65. | Office-Dokumente beim Browsen mit Lese-/Schreibzugriff senden |
| Nein |
Extras | Optionen | Rechtschreibprüfung für Datensammlung | |||
66. | Korrekturhilfen verbessern | x | Nein |
Sicherheitseinstellungen | |||
67. | Benutzeroberfläche für PDF-Verschlüsselungseinstellung deaktivieren |
| Nein |
68. | OLE-Objekte überprüfen |
| Ja |
69. | Excel-RTD-Server überprüfen |
| Nein |
70. | Verschlüsselungstyp für kennwortgeschützte Office Open XML-Dateien | x | Microsoft Enhanced RSA und AES Cryptographic Provider, AES-256, 256-Bit |
71. | Mindestlänge für Kennwort festlegen | x | Ja |
72. | Automatisierungssicherheit | x | Ja |
73. | Alle ActiveX-Steuerelemente deaktivieren | x | Ja |
74. | Kennwort zum Öffnen der Benutzeroberfläche deaktivieren |
| Nein |
75. | Dokumentmetadaten für kennwortgeschützte Dateien schützen | x | Ja |
76. | OWC-Datenquellenanbieter überprüfen | x | Ja |
77. | Verschlüsselungstyp für kennwortgeschützte Office 97-2003-Dateien | x | Microsoft Enhanced RSA und AES Cryptographic Provider, AES-256, 256-Bit |
78. | Linkwarnungen unterdrücken |
| Nein |
79. | ActiveX-Objekte überprüfen |
| IE-Killbitliste außer Kraft setzen |
80. | Fehlerberichterstattung für Dateien mit Dateiüberprüfungsfehlern deaktivieren | x | Ja |
81. | Dokumenteigenschaften verschlüsseln | x | Ja |
82. | Dokumentmetadaten für Office Open XML-Dateien, deren Rechte verwaltet werden, schützen | x | Ja |
83. | VBA für Office-Anwendungen deaktivieren | x | Ja |
84. | Steuerelemente in Forms3 laden |
| 1 |
85. | In Word und Excel können keine verwalteten Codeerweiterungen geladen werden | x | Ja |
86. | Regelstufe für Kennwort festlegen | x | Prüfung der lokalen Länge und lokalen Komplexität ... |
87. | ActiveX-Steuerelementinitialisierung |
| 4 |
88. | Kennworthashformat als ISO-kompatibel festlegen | x | Ja |
89. | Domänentimeout für Kennwortregeln festlegen |
| 4000 |
90. | Alle Benachrichtigungen für Vertrauensstellungsleiste aus Sicherheitsgründen deaktivieren | x | Nein |
Sicherheitseinstellungen > Digitale Signaturen und Sicherheitseinstellungen > Hinterlegte Zertifikate | |||
91. bis 110. | Anmerkung von PC-WELT: Diese Richtlinien betreffen digitale Signaturen. Details im PDF BSI-CS_135.pdf | ||
Sicherheitseinstellungen > Trust Center | |||
111. | Vertrauenswürdiger Speicherort #1 bis #20 |
| Nein |
112. | Mischung aus Richtlinien- und Benutzerspeicherorten zulassen | x | Nein |
Sicherheitseinstellungen > Trust Center > Geschützte Ansicht | |||
113. | Unsicherer Speicherort #1 bis #20 |
| Nein |
Sicherheitseinstellungen > Trust Center > Vertrauenswürdige Kataloge | |||
114. - 117. | Anmerkung von PC-WELT: Diese Richtlinien betreffen Kataloge. Details im PDF BSI-CS_135.pdf |