Schließen Sie gezielt Schwachstellen und reduzieren Sie generell die Angriffsflächen Ihrer Microsoft 365- bzw. Office-Produkte! Wie? Mit einer professionellen Härtung. Welche Maßnahmen Sie ergreifen müssen und welche Richtlinien Ihnen dabei am besten helfen, erklären wir Ihnen in diesem Ratgeber.
Microsoft 365 und MS Office müssen geschützt werden!
Microsoft Word, Excel, Powerpoint und Outlook werden weltweit millionenfach eingesetzt – in Schulen, Unternehmen, Behörden und privat. Gerade deshalb sind die Anwendungen von Microsoft Office bzw. Microsoft 365 ein beliebtes Ziel von Cyberangriffen.
Angreifer nutzen häufig typische Schwachstellen aus, um schnell und einfach Schadsoftware einzuschleusen. Sind die Systeme erst einmal kompromittiert, folgen ein Lateral Movement und viele weitere Schritte, die in Firmen sehr großen Schaden anrichten können.
Beliebte Einfallstore sind Makros in Dokumenten oder HTML-Inhalte in E-Mails. Deshalb sollten Sie darauf achten, dass diese typischen Angriffsvektoren keine Chancen haben. Wie? Über ein sogenanntes Office Hardening.
Was versteht man unter Office Hardening?
Office Hardening bezeichnet die sichere Konfiguration (engl. Secure Configuration) der populären Microsoft-Produkte, um die Angriffsfläche des Softwarepakets deutlich zu reduzieren. Die Nutzer erhalten so eine sichere digitale Umgebung und können mit weniger Angst vor Cyber-Vorfällen arbeiten.
Damit ist das Office Hardening eine Disziplin der weiter gefassten Systemhärtung (System Hardening). Hier geht es – sinnbildlich gesprochen – darum, die Türen und Fenster Ihrer IT-Landschaft so zu schließen, dass Kriminelle keine Chance haben.
Systemhärtung im Allgemeinen und Office Hardening im Besonderen erfordert eine Vielzahl von Maßnahmen. Diese können sehr arbeits- und zeitintensiv sein, da pro System mehrere hundert Einstellungen angepasst werden müssen. Diese gilt es im Vorfeld zu bewerten, um die Auswirkungen auf die Software und Benutzung einschätzen zu können.
Deutlich schneller geht es durch Automatisierung – zum Beispiel mit dem Enforce Administrator. Mit dem Hardening-Tool können Sie sowohl einzelne Office-Produkte als auch große, komplexe IT-Landschaften zentral härten und verwalten.
⏬ Download: Enforce Administrator Produktbroschüre (PDF)
Wie sollten Office-Programme gehärtet werden?
Auf diese Frage gibt es verschiedene Antworten. Beispielsweise hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) umfassende Empfehlungen zur Härtung von Microsoft Office und den einzelnen Anwendungen (Excel, Word, Outlook, Powerpoint, Visio, Access) herausgegeben. Und die Allianz für Cybersicherheit veröffentlichte eine 11-seitige Checkliste zur Härtung von Office-Programmen.
Auch in “Down Under” beschäftigt man sich mit dem Office Hardening. Auf der Website des ACSC (Australian Cyber Security Centre) gibt es eine kostenlose und lesenswerte Publikation mit dem Titel “Hardening Microsoft 365, Office 2021, Office 2016 and Office 2016”. Diese stellt eine sehr gute Ergänzung zu den offiziellen und eher oberflächlichen “Schutz und Sicherheit in Excel”-Tipps von Microsoft und dem Blogbeitrag “Security Baseline for M365 Apps for enterprise v2412” dar.
Die aus unserer Sicht beste Anleitung zum Thema “Office-Härtung” sind die “CIS Microsoft Office Benchmarks”, herausgegeben vom Center for Internet Security. Das über 600 Seiten starke Dokument enthält Empfehlungen für die sichere Konfiguration von Microsoft Office 2016, 2019, 2021 LTSC sowie Office 365 Apps für Windows 11, Windows 10, Windows 8.1 und Windows Server 2016/2019/2022.
Office-Härtung: Überblick und Beispiele
Die folgenden Maßnahmen bilden – aus Sicht des ACSC, des BSI, der CIS Benchmarks und auch unserer Einschätzung nach – die Grundlage für eine wirksame und nachhaltige Härtung von Microsoft Office. Sie stellen essentielle Schutzmechanismen dar, um die Sicherheit von Programmen wie Word, Excel oder Powerpoint deutlich zu erhöhen.
-
- Abschalten von VBA-Makros in Office-Dokumenten
- Deaktivierung von HTML-Inhalten in E-Mails
- Blockieren von unsicheren ActiveX-Steuerelementen
- Einschränkung von Dateidownloads
- Reduktion der Add-In-Verwaltung
- Kontrolle von OLE-Objekten und MIME
- Deaktivierung der Telemetrie-Datenerfassung
- Abschalten von Internet-FAX und Connected Experiences
- Blockieren von OneDrive-Anmeldungen
- Nutzung von digitalen Signaturen und Zertifikaten
- Keine Erlaubnis für Web-Add-Ins
- Kein Zugriff auf den Office Store
- Erzwingen von automatischen Updates
- Aktivierung der Information Bar
- Keine Ausführung von Flash-Elementen
- Protected View für Dateien aus dem Internet
Vorteile: Was bringt Office Hardening?
Das Hauptziel von Office Hardening ist die nachhaltige Reduzierung der Angriffsfläche. Damit erschweren Sie es Angreifern erheblich, Microsoft 365 und Office-Anwendungen als Einfallstor zu missbrauchen. Außerdem schieben Sie Microsofts “Datenspionage” einen Riegel vor. Denn der Konzern fällt leider immer wieder dadurch auf, dass er unnötig viele Informationen seiner Kunden sammelt – zum Beispiel Telemetriedaten.
Die Härtung von Word, Excel, Outlook, Powerpoint und Co. sorgt dafür, dass die Anwendungen sicherer werden. Das Office Hardening ist somit ein wichtiger Bestandteil einer umfassenderen Systemhärtung – und ein essentieller Bestandteil einer noch größeren IT-Security-Strategie.
Eine solche Strategie umfasst diese drei Bereiche: Prävention, Detektion und Reaktion. Mit einer professionellen Härtung legen Sie einen wichtigen, präventiven Grundstein. Einer, der in immer mehr Normen, Regularien und IT-Gesetzen gefordert wird, unter anderem bei der ISO 27001 und dem Digital Operational Resilience Act (DORA).
Wie kontrolliert man eine Office-Härtung?
Entspricht Ihr Office Hardening den aktuellen Empfehlungen? Machen Sie den Check – mit dem AuditTAP! Das lässt sich bei Github herunterladen und konform der angegebenen Lizenzbedingungen kostenfrei nutzen.
Mit dem AuditTAP können Sie einzelne Anwendungen wie Word und Excel und komplette Betriebssysteme (Windows, Windows Server, Linux) überprüfen. Ein Report zeigt Ihnen, wie gut Ihre Zielsysteme gehärtet sind.
Ziehen Sie danach die richtigen Schlussfolgerungen aus dem Compliance-Bericht. Und bedenken Sie immer: Es gibt keinen 100%-igen Schutz, selbst mit dem härtesten Office Hardening.
Fazit
Office Hardening ist ein wichtiger Schritt von vielen, um die IT-Sicherheit in Ihrem Unternehmen zu verbessern. Durch die konsequente Umsetzung bewährter Sicherheitsmaßnahmen schließen Sie bekannte Angriffspfade und erhöhen die Widerstandsfähigkeit Ihrer Infrastruktur gegenüber den wachsenden Cyber-Bedrohungen.
Haben Sie noch Fragen?
Wollen Sie mehr über Systemhärtung wissen? Folgen Sie uns auf LinkedIn! Oder möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!
Bilder: Freepik, CIS, DALL-E