Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Hinweise für die sichere Konfiguration von Microsoft-Office-Produkten unter Microsoft Windows veröffentlicht. Die aktuelle Fassung ergänzt die Empfehlungen aus 2024 und schärft den Fokus auf zentral steuerbare, praxistaugliche Maßnahmen.
Für wen sind die Empfehlungen gedacht?
Primär adressiert sind mittelgroße bis große Organisationen, die Clients per Gruppenrichtlinien in einer Active-Directory-Umgebung verwalten. Erfahrene IT-Administrationen und Power-User können viele Einstellungen aber auch lokal umsetzen. Der Weg über Gruppenrichtlinien bietet gegenüber der reinen GUI-Konfiguration klare Vorteile:
- mehr Granularität und Optionen als in der Oberfläche,
- zentrale, konsistente Ausrollung über OUs,
- einfache Revisionsfähigkeit (GPO-Backups, Versionierung),
- schnelle Rücknahme/Anpassung bei Inkompatibilitäten.
Was decken die Empfehlungen ab?
Die BSI-Hinweise enthalten konkrete Konfigurationen, mit denen sich das Sicherheitsniveau der Office-Suite schnell erhöhen lässt. Abgedeckt sind Microsoft Access, Excel, Outlook, PowerPoint, Visio und Word.
Typische Schwerpunkte, die Organisationen berücksichtigen sollten:
- Makros & Skripting: Makros standardmäßig deaktivieren, nur signierte Makros aus vertrauenswürdigen Quellen zulassen; Internet-Ursprünge blockieren; AMSI-Unterstützung für VBA aktivieren (sofern verfügbar).
- Vertrauensstellungen minimieren: „Trusted Locations“ und „Trusted Documents“ restriktiv halten; OLE/ActiveX und unsichere eingebettete Inhalte unterbinden.
- Geschützte Ansichten & Dateiblockierung: „Protected View“ für aus dem Internet/Outlook/OneDrive stammende Dateien erzwingen; alte/unsichere Dateiformate per File Block sperren.
- Add-ins & Erweiterungen: Nur signierte Add-ins zulassen; nicht benötigte COM-Add-ins deaktivieren; automatisches Laden begrenzen.
- Externer Inhalt & Datenschutz: Automatisches Nachladen von Web-Inhalten (Bilder, Vorlagen, Datenverbindungen) unterbinden; Telemetrie/Diagnose datenarm konfigurieren.
- Outlook-Härtung: Vorschau potenziell gefährlicher Anlagen einschränken; automatische Download-Funktionen für externe Inhalte blockieren; verdächtige Links kennzeichnen; Standard-Verschlüsselung/Signatur regeln (z. B. S/MIME).
- Authentifizierung & Cloud: Moderne Authentifizierungsverfahren nutzen, Legacy-Protokolle vermeiden; Zugriff auf Cloudspeicher klar reglementieren (z. B. nur Unternehmens-Tenants).
- Update- und Kanalsteuerung: Updatekanäle für Microsoft 365 Apps kontrollieren und klare Test-/Pilotstufen definieren.
Bezug zum IT-Grundschutz
Die Office-Härtung zahlt unmittelbar auf die IT-Grundschutz-Anforderungen rund um sichere Konfiguration, Betrieb und Schutz vor Schadcode ein. Sie unterstützt außerdem organisatorische Maßnahmen wie Rollen & Prozesse, Ausnahme-Management und Dokumentation.
- Download Sichere Konfiguration von Microsoft Office (PDF)
- Download Sichere Konfiguration von Microsoft Excel (PDF)
- Download Sichere Konfiguration von Microsoft PowerPoint (PDF)
- Download Sichere Konfiguration von Microsoft Word (PDF)
- Download Sichere Konfiguration von Microsoft Outlook (PDF)
- Download Sichere Konfiguration von Microsoft Access (PDF)
- Download Sichere Konfiguration von Microsoft Visio (PDF)