\n\nDie meisten Viren kommen per Mail auf den Rechner \u2013 und am h\u00e4ufigsten stecken die Sch\u00e4dlinge in Office-Dateien f\u00fcr Microsoft Word, Excel & Co. F\u00fcr mehr Schutz gegen solche und andere Angriffe hat nun das BSI die besten Sicherheitseinstellungen f\u00fcr Office ver\u00f6ffentlicht.<\/p>\n\n\n\n
Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat sich Microsoft Office vorgenommen und herausgefunden, was die besten Einstellungen hinsichtlich Sicherheit, Datenschutz und Funktionalit\u00e4t sind. Angewendet werden diese Einstellungen per Gruppenrichtlinien. In diesem Beitrag stellen wir die Empfehlungen des BSI vor und erkl\u00e4ren ausf\u00fchrlich, wie Sie diese Einstellungen f\u00fcr Ihr Office umsetzen k\u00f6nnen.<\/p>\n\n\n\n
So sieht ein sicheres Office aus
Sicherheit, Datenschutz und Komfort vertragen sich meist nicht gut miteinander. Wenn Sie sich etwa einen Text in Word in eine andere Sprache \u00fcbersetzen lassen, ist das sehr komfortabel. Doch Word l\u00e4dt den Text daf\u00fcr auf Microsoft-Server, wo er grunds\u00e4tzlich f\u00fcr Microsoft einsehbar ist. Wenn Sie diese Funktion deaktivieren, erh\u00f6hen Sie den Datenschutz, verlieren aber Komfort. Das BSI selbst weist ausdr\u00fccklich darauf hin, dass es sich bei den empfohlenen Einstellungen um einen Kompromiss zwischen Datenschutz, Sicherheit und Funktionalit\u00e4t handelt. Im Fokus stehen bei den BSI-Empfehlungen mittelgro\u00dfe und gro\u00dfe Firmen. Wir sehen dabei allerdings eine gro\u00dfe Deckung mit den Bed\u00fcrfnissen eines Privatanwenders. Auch dieser m\u00f6chte produktiv arbeiten und entsprechende Online-Funktionen von Office nutzen, ohne deswegen auf ein sicheres Outlook verzichten zu m\u00fcssen.<\/p>\n\n\n\n
Dennoch bleiben die Vorlagen des BSI ein Kompromiss \u2013 f\u00fcr Firmen genauso wie f\u00fcr den Nutzer zu Hause. Pr\u00fcfen Sie also die genannten Einstellungen, ob Sie bei Ihrem Office die Z\u00fcgel nicht doch fester anlegen wollen \u2013 oder mehr erlauben m\u00f6chten.<\/p>\n\n\n\n
Voraussetzung: Windows Pro
Es m\u00fcssen vier Voraussetzungen erf\u00fcllt sein, damit Sie die BSI-Empfehlungen umsetzen k\u00f6nnen. <\/p>\n\n\n\n
1. Windows Pro: Sie ben\u00f6tigen Windows Pro 7, 8 oder 10. Die Pro-Version ist n\u00f6tig, da die Einstellungen per Gruppenrichtlinien umgesetzt werden. Und diese ben\u00f6tigen das Tool \u201eEditor f\u00fcr Gruppenrichtlinien\u201c (Befehl gpedit.msc), das nur in der Pro-Version funktioniert.<\/p>\n\n\n\n
2. Office: Au\u00dferdem ben\u00f6tigen Sie Microsoft Office 2013, 2016 oder 2019. Das BSI weist darauf hin, dass einige Einstellungen auf Office 2013 keine Auswirkung haben, da es die entsprechende Funktion in dieser Version noch nicht gibt. In unserem Test funktionierten die Einstellungen auch f\u00fcr Office 365. Allerdings kommen bei dieser Abo-Version laufend neue Funktionen hinzu, sodass sich durch ein Update die Sicherheitskonfiguration \u00e4ndern kann.<\/p>\n\n\n\n
3. BSI-Empfehlungen: Seine Vorschl\u00e4ge bietet das BSI in sieben PDF-Dateien an. <\/p>\n\n\n\n
4. Gruppenrichtlinien-Vorlagen: Von Microsoft selber stammen die Gruppenrichtlinien-Vorlagen, die per ADMX-Dateien daherkommen ( Download ). Es gibt sie f\u00fcr 32- und 64-Bit-Systeme. In den Gruppenrichtlinien ist an fast allen Stellen in den Beschreibungstexten nur von \u201eOffice 2016\u201c die Rede. Dennoch gelten die Richtlinien offiziell auch f\u00fcr Office 2019 und 365. Microsoft hat sich einfach die Arbeit erspart, die Angaben in den Texten zu korrigieren. Laut BSI funktionieren die Regeln zudem auch f\u00fcr Office 2013, wenn auch mit kleinen Einschr\u00e4nkungen.<\/p>\n\n\n\n
Microsoft gibt Administratoren Gruppenrichtlinien an die Hand, um damit beliebig viele PCs auf einen Schlag konfigurieren zu k\u00f6nnen. Die Gruppenrichtlinien werden in diesem Fall auf einem Server verwaltet und von diesem aus an die PCs verteilt. Auf Englisch wird eine Gruppenrichtlinie \u201eGroup Policy Object\u201c genannt, weshalb in Fachtexten oft die Abk\u00fcrzung GPO auftaucht. Eine einzelne Richtlinie steuert eine Einstellung einer Windows-Funktion oder -anwendung. Gruppenrichtlinien-Vorlagen, wie Sie sie von Microsoft herunterladen k\u00f6nnen, sind ein ganzes B\u00fcndel von Richtlinien.<\/p>\n\n\n\n
In unserem Fall steuern die Microsoft-Vorlagen f\u00fcr Office \u00fcber 3000 Einstellungen f\u00fcr das B\u00fcropaket. Das BSI hat daraus 457 Richtlinien f\u00fcr eine sichere Konfiguration herausgesucht. Grunds\u00e4tzlich funktioniert die Nutzung der Richtlinien auch ohne Server, denn das Tool \u201eEditor f\u00fcr Gruppenrichtlinien\u201c ist in jedem Windows Pro integriert. Starten Sie die Software unter Windows 10, indem Sie in das Suchfeld gpedit eingeben und dann \u201eGruppenrichtlinie bearbeiten\u201c aus dem Men\u00fc ausw\u00e4hlen. Alternativ geben Sie die Tastenkombination Windows-R ein und dann gpedit.msc eingeben.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Wir gehen hier von einem Heim-PC aus, der an keinen Firmen-Server angeschlossen ist. Im Editor f\u00fcr Gruppenrichtlinien finden sich dann links unter dem Eintrag \u201eRichtlinien f\u00fcr Lokaler Computer\u201c die Punkte \u201eComputerkonfiguration\u201c und \u201eBenutzerkonfiguration\u201c, die weitere Unterordner enthalten. Die Wege zu diesen Eintr\u00e4gen bis hin zu einer Regel beschreiben wir wie Men\u00fcbefehle, etwa \u201eBenutzerkonfiguration \u2013\u203a Administrative Vorgaben \u2013\u203a Startmen\u00fc und Taskleiste \u2013\u203a Beim Beenden die Liste der zuletzt ge\u00f6ffneten Dokumente leeren\u201c. Das ist ein Beispiel f\u00fcr eine Gruppenrichtlinie, die eine Einstellung von Windows betrifft. Es geht um die Liste der zuletzt ge\u00f6ffneten Dateien und Ordner. Diese Liste k\u00f6nnen Sie sich unter \u201eC:\\User\\[Benutzername]\\Recent\u201c im Windows-Explorer anzeigen lassen.<\/p>\n\n\n\n
Wer nicht m\u00f6chte, dass Windows diese Information \u00fcber das Nutzerverhalten speichert, l\u00e4sst die Liste bei jedem Herunterfahren von Windows l\u00f6schen. Das geht \u00fcber die eben genannte Richtlinie \u201eBenutzerkonfiguration \u2013\u203a Administrative Vorgaben \u2013\u203a Startmen\u00fc und Taskleiste \u2013\u203a Beim Beenden die Liste der zuletzt ge\u00f6ffneten Dokumente leeren\u201c. W\u00e4hlen Sie dort \u201eAktiviert\u201c und best\u00e4tigen Sie mit \u201eOK\u201c. Diese Gruppenrichtlinie ist bereits in Windows integriert. Die Richtlinien f\u00fcr Office m\u00fcssen Sie zuerst von Microsoft herunterladen, entpacken und in das richtige Verzeichnis kopieren.<\/p>\n\n\n\n
Das Entpacken der Gruppenrichtlinie geht \u00fcber einen Doppelklick auf die Datei admintemplates_x64_4888-1000_en-us.exe f\u00fcr 64-Bit-Systeme, wobei Sie den Ordner angeben k\u00f6nnen, in dem der Inhalt gespeichert werden soll. Wechseln Sie in diesen Ordner und dann in das Verzeichnis \u201eADMX\u201c. Darin markieren Sie alle Dateien mit der Endung .ADMX und den Ordner \u201edede\u201c. Diese Auswahl kopieren Sie in den Ordner C:\\Windows\\PolicyDefinitions (oder %SYSTEMROOT%\\PolicyDefinitions).<\/p>\n\n\n\n
Bei diesen ADMX-Dateien (Administrationsdateien) handelt es sich um die Vorlagendateien f\u00fcr Office, die wirksam sind, sobald Sie sie in den Ordner PolicyDefinitions kopiert haben. Bearbeiten lassen sie sich mit dem genannten \u201eEditor f\u00fcr Gruppenrichtlinien\u201c, der intern auch \u201eGruppenrichtlinienobjekt- Editor\u201c genannt wird.<\/p>\n\n\n\n
BSI-Tabelle in PDF-Form
Am Ende dieses Beitrags haben wir die Empfehlungen des BSI zu Einstellung der Gruppenrichtlinien f\u00fcr Office auszugsweise angef\u00fcgt. Die Daten entsprechen dem Inhalt des PDFs \u201e Sichere Konfiguration von Microsoft Office 2013\/2016\/2019 \u201c mit dem Dateinamen BSI-CS_135.pdf . Es stellt f\u00fcr alle Anwendungen von Office grundlegende Weichen in Sachen Sicherheit. Entsprechend lohnt es sich, sich die Empfehlungen dieses Dokuments anzusehen. F\u00fcr die sechs Einzelprogramme Access, Excel, Outlook, Powerpoint, Visio und Word gibt es eigene PDFs.<\/p>\n\n\n\n
Vorsicht bei \u00c4nderungen
Die BSI-Empfehlungen f\u00fcr die sichere Konfiguration stellen ein gutes Gesamtpaket dar. Die einzelnen Richtlinien haben dabei unterschiedlich gro\u00dfe Auswirkungen auf Ihr Office. So hat etwa die Empfehlung Nummer 46 \u201eVer\u00f6ffentlichen auf einem DAV-Server verhindern\u201c aus den Richtlinienempfehlungen f\u00fcr Outlook keinen Einfluss auf die meisten privaten Installationen. Es sei denn, Sie haben sich Ihren Outlook-Kalender auf einen Onlineserver ausgeleitet. Doch auch wenn diese Einstellung bei Ihnen keine Auswirkung hat, ist es sinnvoll, sie zu aktivieren. Denn dann kann auch kein Schadcode Ihren Kalender auf einen DAV-Server ausleiten.<\/p>\n\n\n\n
Andere Einstellungen haben auf Heim-Installationen ebenfalls keine sinnvolle Auswirkung, sollten aber nicht gesetzt werden. So etwa die BSI-Empfehlung Nummer 68 \u201eAlle E-Mail-Nachrichten signieren\u201c aus den Richtlinienempfehlungen f\u00fcr Outlook. Denn die meisten Heiminstallationen haben kein Zertifikat f\u00fcrs Signieren einer Mail installiert. Wer diese Empfehlung aktiviert, erh\u00e4lt beim Versand einer Mail eine Fehlermeldung und kann die Nachricht nicht abschicken. Das klappt erst dann wieder, wenn Sie die Richtlinie zur\u00fcck auf \u201eDeaktiviert\u201c oder \u201eNicht konfiguriert\u201c gesetzt haben.<\/p>\n\n\n\n
Darum gilt grunds\u00e4tzlich: \u00c4ndern Sie nur die Richtlinien, die Sie auch verstehen.<\/p>\n\n\n\n
Wichtige Beschreibungstexte
Der Name einer Regel ist meist nur ein paar W\u00f6rter lang. In vielen F\u00e4llen reicht das nicht aus, um ihre Aufgabe zu verstehen. Gehen Sie in diesen F\u00e4llen im Gruppenrichtlinien-Editor zur genannten Regel und klicken Sie diese an. Es erscheint ein Beschreibungstext, der meist Klarheit in die Auswirkungen der Regel bringt. Zumindest wir fanden es dabei hilfreich, sowohl den Absatz zur Wirkung bei \u201eAktivieren\u201c als auch den bei \u201eDeaktivieren\u201c zu lesen.<\/p>\n\n\n\n
Falls sich auch dann die Auswirkung der Regel nicht erschlie\u00dft und auch eine Google-Suche nicht weiterhilft, kann man von einer \u00c4nderung entweder die Finger lassen oder Sie notieren sich den Schl\u00fcssel in einer separaten Liste. Sollte Office dann mal nicht wie gew\u00fcnscht reagieren, k\u00f6nnen Sie auf diese Liste zur\u00fcckgreifen und die gemachten \u00c4nderungen testweise zur\u00fccknehmen. Das funktioniert allerdings auch nur dann, wenn diese Liste nicht zu viele Eintr\u00e4ge hat.<\/p>\n\n\n\n
Gro\u00dfe Hebel f\u00fcr mehr Sicherheit
Das BSI hat aus \u00fcber 3000 rund 460 Regeln herausgesucht. Davon sind f\u00fcr typische Office-Installationen zu Hause vielleicht rund 150 bis 200 Regeln sinnvoll. Welche das sind, h\u00e4ngt jedoch von Ihrer Nutzung und Konfiguration ab, weshalb wir keine weitere Eingrenzung des Regelsatzes vornehmen k\u00f6nnen. Was uns aufgefallen ist, sind ein paar gro\u00dfe Hebel f\u00fcr die Konfiguration. Es sind die BSI-Empfehlungen 56 bis 59 f\u00fcr Office im Dokument BSI-CS_135.pdf . Es geht um die Regeln f\u00fcr \u201everbundene Erfahrungen\u201c. So k\u00f6nnen Sie etwa Regel 56 \u201eDie Verwendung verbundener Erfahrungen in Office zulassen\u201c deaktivieren und haben damit die \u00dcbersetzungsfunktion in allen Office-Anwendungen ebenso deaktiviert wie etliche weitere Onlinefunktionen. Was alles hinter den \u201everbundenen Erfahrungen\u201c steckt, verr\u00e4t Microsoft hier . Nat\u00fcrlich ist bei einem so gro\u00dfen Hebel auch der Verlust an Komfort und Funktionalit\u00e4t besonders gro\u00df. Entsprechend bleiben beim BSI die \u201everbundenen Erfahrungen\u201c aktiviert.<\/p>\n\n\n\n
Mehr Sicherheit f\u00fcr Outlook gem\u00e4\u00df BSICS_139.pdf : Unterhalb von \u201eBenutzerkonfiguration \u2013\u203a Administrative Vorlagen \u2013\u203a Microsoft Outlook 2016 \u2013\u203a Sicherheit\u201c konfigurieren Sie den Schutz f\u00fcr Ihr Outlook. Die Sicherheitseinstellungen f\u00fcr Makros finden Sie an dieser Stelle im Unterordner \u201eTrust Center\u201c und den BSI-Empfehlungen 109 bis 111. Doch auch die \u00fcbrigen Empfehlungen haben allesamt Auswirkungen auf die Sicherheit von Outlook. So verhindert Empfehlung 25 \u201eAlle nicht verwalteten Add-ins blockieren\u201c, dass sich heimlich ein verseuchtes Add-in einschleicht. Allerdings geht das zulasten des Komforts, denn wenn Sie diese Richtlinie aktivieren, k\u00f6nnen auch Sie selber kein Add-in installieren.<\/p>\n\n\n\n
Empfehlung: So gehen Sie vor
Sie profitieren am besten von den BSI-Einstellungen, wenn Sie sich alle 457 Vorgaben ansehen und die f\u00fcr Sie passenden umsetzen. Das ist allerdings eine sehr zeitaufwendige Arbeit. Wer nicht so viel Zeit investieren m\u00f6chte, sollte sich zumindest die BSI-Empfehlungen zu Office (Dokument BSI-CS_135.pdf ) ansehen und die pers\u00f6nlich interessanten Einstellungen \u00fcbernehmen. Dar\u00fcber hinaus kommt es darauf an, mit welcher Anwendung Sie au\u00dferdem arbeiten. Wenn Sie Microsoft Projekt nicht verwenden, m\u00fcssen Sie die Richtlinien auch nicht konfigurieren. Nutzen Sie aber noch Outlook (Dokument BSI-CS_139.pdf ) und Excel ( BSI-CS_136.pdf ), lohnt sich bestimmt auch ein Blick in diese Listen.<\/p>\n\n\n\n
Alles r\u00fcckg\u00e4ngig machen: Sollte eine Office-Anwendung nach dem Aktivieren der neuen Richtlinien nicht mehr wie gew\u00fcnscht funktionieren und Sie wissen nicht, welche Richtlinie genau schuld daran ist, dann k\u00f6nnen Sie auch einfach die Gruppenrichtliniendatei aus dem Ordner C:\\Windows\\Policy-Definitions verschieben oder l\u00f6schen. Sollte etwa Outlook betroffen sein, verschieben Sie die Datei outlk16.admx; ist Word betroffen, w\u00e4hlen Sie word16.admx. Sollte das nicht helfen, verschieben oder l\u00f6schen Sie office16.admx, also die Gruppenrichtlinienvorlage, die \u00c4nderungen f\u00fcr alle Office-Anwendungen vornimmt.<\/p>\n\n\n\n
Und zum Schluss noch ein Hinweis des BSI: \u201eDie Konfiguration der Gruppenrichtlinien hilft nur dabei, die Angriffsfl\u00e4che […] zu verringern.\u201c Ein Restrisiko bleibt bestehen.<\/p>\n\n\n\n
Wir stellen billiger Ersatzakkus f\u00fcr laptop akkus<\/a>, Laptop AC Netzteil<\/a>, Electronic Zubeh\u00f6r und andere Zubeh\u00f6r her. Alle Produkte sind neu, 100% mit Originalen kompatibel!\n\n<\/p>\n","protected":false},"excerpt":{"rendered":" Die meisten Viren kommen per Mail auf den Rechner \u2013 und am h\u00e4ufigsten stecken die Sch\u00e4dlinge in Office-Dateien f\u00fcr Microsoft Word, Excel & Co. F\u00fcr mehr Schutz gegen solche und andere Angriffe hat nun das BSI die besten Sicherheitseinstellungen f\u00fcr Office ver\u00f6ffentlicht. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat sich Microsoft Office vorgenommen […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[48],"tags":[3184],"_links":{"self":[{"href":"http:\/\/akkusmarkt.de\/Blog\/wp-json\/wp\/v2\/posts\/4324"}],"collection":[{"href":"http:\/\/akkusmarkt.de\/Blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/akkusmarkt.de\/Blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/akkusmarkt.de\/Blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/akkusmarkt.de\/Blog\/wp-json\/wp\/v2\/comments?post=4324"}],"version-history":[{"count":0,"href":"http:\/\/akkusmarkt.de\/Blog\/wp-json\/wp\/v2\/posts\/4324\/revisions"}],"wp:attachment":[{"href":"http:\/\/akkusmarkt.de\/Blog\/wp-json\/wp\/v2\/media?parent=4324"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/akkusmarkt.de\/Blog\/wp-json\/wp\/v2\/categories?post=4324"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/akkusmarkt.de\/Blog\/wp-json\/wp\/v2\/tags?post=4324"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}