Grundlegendes zu Sicherheitsrisiken und Gegenmaßnahmen für Office 2013

 

Gilt für:Office client

Letztes Änderungsdatum des Themas:2016-12-16

Zusammenfassung: Erläutert, wie Risiken und Bedrohungen für die Office-Ressourcen, -Dokumente und -Prozesse Ihrer Organisation durch Office 2013-Sicherheitsfunktionen abgewehrt werden können.

Zielgruppe: IT-Spezialisten

Eine sichere Desktopkonfiguration ist ein wichtiger Bestandteil einer umfassenden Strategie zur Abwehr von Sicherheitsrisiken in Ihrer Organisation. In diesem Artikel werden zunächst die verschiedenen allgemeinen Sicherheitsrisiken und Schwachstellen für Geschäftsdokumente und -Bestände in Ihrer Organisation aufgeführt und anschließend die Sicherheitsfunktionen erläutert, die in Office 2010 und Office 2013 zur Verfügung stehen und bei der Reduzierung dieser Bedrohungen hilfreich sein können. Prüfen Sie diese Einstellungen, um zu bestimmen, welche standardmäßigen und optionalen Office-Sicherheitsfunktionen Ihre Organisation verwenden sollte.

 

Übersichtspfeil für Anleitung zur Office-Sicherheit.

Dieser Artikel ist Bestandteil der Leitfaden für die Office 2013-Sicherheit. Verwenden Sie diese Übersicht als Ausgangspunkt für Artikel, Downloads, Poster und Videos, mit deren Hilfe Sie die Sicherheit von Office 2013 bewerten.

Sie interessieren sich für Informationen, die die Sicherheit einzelner Office 2013-Anwendungen betreffen? Sie finden diese Informationen, indem Sie auf Office.com nach "2013-Sicherheit" suchen.

Inhalt dieses Artikels:

Die meisten IT-Spezialisten und IT-Sicherheitsspezialisten teilen Sicherheitsrisiken für Informationen in drei allgemeine Kategorien ein:

  • Vertraulichkeitsrisiken Diese Risiken stellen für das geistige Eigentum einer Organisation Bedrohungen durch nicht autorisierte Benutzer und schädlichen Code dar, die auf die in einer Organisation gesprochenen, geschriebenen und erstellten Inhalte zuzugreifen versuchen.

  • Integritätsrisiken Diese Risiken stellen für Geschäftsressourcen Bedrohungen durch nicht autorisierte Benutzer und schädlichen Code dar, die die für die Organisation wichtigen Geschäftsdaten zu beschädigen versuchen. Integritätsrisiken gefährden alle Geschäftsressourcen, die für eine Organisation kritische Informationen enthalten, beispielsweise Datenbankserver, Datendateien und E-Mail-Server.

  • Verfügbarkeitsrisiken Diese Risiken stellen Bedrohungen für Geschäftsprozesse durch nicht autorisierte Benutzer und schädlichen Code dar, die Ihre Geschäftstätigkeit zu stören und Benutzer bei der Arbeit zu behindern versuchen. Business Intelligence-Prozesse, Anwendungsfeatures und -funktionen und Dokumentworkflowprozesse können durch Verfügbarkeitsrisiken bedroht sein.

Für den Schutz einer Organisation vor allen drei Risikokategorien wird eine tief greifende Sicherheitsstrategie empfohlen. Diese Sicherheitsstrategie sollte mehrere überlappende Verteidigungsschichten gegen nicht autorisierte Benutzer und schädlichen Code umfassen. Zu diesen Schichten gehören normalerweise folgende:

  • Schutz des Umkreisnetzwerks, beispielsweise durch Firewalls und Proxyserver

  • Physische Sicherheitsmaßnahmen, beispielsweise physisch sichere Rechenzentren und Serverräume

  • Desktopsicherheitstools, beispielsweise persönliche Firewalls, Virenscannerprogramme und Spywareerkennungsprogramme

Standardmäßig kann eine Organisation mithilfe des Office 2013-Sicherheitsmodells alle drei Risikoarten entschärfen. Jede Organisation hat jedoch andere Infrastrukturfunktionen, Produktivitätsanforderungen und Desktopsicherheitsanforderungen. Sie müssen die Bedrohungen und die Schwachstellen, mit denen die Risiken ausgenutzt werden, bewerten, um genau zu bestimmen, wie Ihre Organisation diese Geschäftsrisiken entschärfen kann.

Mithilfe des Sicherheitsmodells für Office 2013 können Sie wie auch für Office 2010 fünf Arten von Sicherheitsrisiken für Produktivitätssoftware entschärfen. Jede dieser Bedrohungsarten betrifft Schwachstellen, die bei verschiedenen Angriffen ausgenutzt werden können. In der folgenden Abbildung werden die Sicherheitsbedrohungen und Beispiele für die häufigsten Angriffspunkte dargestellt.

Typen von Sicherheitsrisiken


Die meisten Organisationen werden mit einigen potenziellen Risiken konfrontiert, die sich durch diese Sicherheitsbedrohungen ergeben. Die meisten Organisationen werden jedoch auch mit individuellen Kombinationen aus Schwachstellen und Sicherheitsangriffen oder Exploits konfrontiert. Daher ist es wichtig, die Risiken zu verstehen und einen Risikobegrenzungsplan zu entwickeln, der für Ihre Organisation am besten geeignet ist.

In Office 2013 werden zahlreiche Gegenmaßnahmen bereitgestellt, mit denen Bedrohungen für Geschäftsressourcen und -prozesse entschärft werden können. Bei einer Gegenmaßnahme handelt es sich um ein Sicherheitsfeature oder eine Sicherheitssteuerung, mit dem bzw. mit der ein oder mehrere Sicherheitsrisiken entschärft werden. Normalerweise können Sie das Verhalten der Gegenmaßnahme ändern, indem Sie Einstellungen im Office-Anpassungstool (OAT) konfigurieren oder die Office 2013administrativen Vorlagen in Gruppenrichtlinien verwenden.

Mit vielen der Gegenmaßnahmen in Office 2013 wird eine bestimmte Bedrohungsart in einer bestimmten Anwendung entschärft. Beispielsweise enthält InfoPath 2013 eine Gegenmaßnahme, bei der Benutzer vor dem möglichen Vorhandensein von Webbeacons in Formularen gewarnt werden. Sie können das Verhalten dieser Gegenmaßnahme ändern, indem Sie die Einstellung Signal übertragende Elemente der Benutzeroberfläche für in InfoPath geöffnete Formulare im Office-Anpassungstool konfigurieren oder Gruppenrichtlinien verwenden.

Mit anderen Gegenmaßnahmen werden allgemeinere Bedrohungen entschärft, die mehrere Anwendungen betreffen. Mit dem Feature „Geschützte Ansicht“ beispielsweise können Benutzer den Inhalt nicht vertrauenswürdiger Dokumente, Präsentationen und Arbeitsmappen anzeigen, ohne dass der Computer durch nicht sichere Inhalte oder schädlichen Code beschädigt werden kann. Diese Gegenmaßnahme wird von Excel 2013, PowerPoint 2013, Word 2013 und Outlook 2013 verwendet, wenn Sie eine Vorschau für Anlagen für Excel 2013, PowerPoint 2013, Visio 2013 und Word 2013 anzeigen. Sie können dieses Verhalten ändern, indem Sie verschiedene Einstellungen im Office-Anpassungstool konfigurieren oder Gruppenrichtlinien verwenden. Weitere Informationen finden Sie im Artikel Planen der Einstellungen für die geschützte Ansicht in Office 2013.

In den folgenden Abschnitten werden die am häufigsten verwendeten Gegenmaßnahmen in Office 2013 beschrieben.

Mithilfe von Einstellungen für ActiveX-Steuerelemente können Sie ActiveX-Steuerelemente deaktivieren und die Methode zum Laden von ActiveX-Steuerelementen in Office 2013-Anwendungen ändern. Standardmäßig werden vertrauenswürdige ActiveX-Steuerelemente mit beständigen Werten im sicheren Modus geladen, und die Benutzer werden nicht benachrichtigt, dass die ActiveX-Steuerelemente geladen werden. Nicht vertrauenswürdige ActiveX-Steuerelemente werden auf andere Weise geladen. Entscheidend ist dabei, wie das ActiveX-Steuerelement gekennzeichnet ist und ob die Datei außer dem ActiveX-Steuerelement ein VBA-Projekt enthält. Das Standardverhalten für nicht vertrauenswürdige ActiveX-Steuerelemente sieht Folgendes vor:

  • Wenn ein ActiveX-Steuerelement als sicher für Initialisierung (SFI) gekennzeichnet und in einem Dokument enthalten ist, das kein VBA-Projekt enthält, wird das ActiveX-Steuerelement mit beständigen Werten im sicheren Modus geladen. Die Statusleiste wird nicht angezeigt, und Benutzer werden nicht über das Vorhandensein des ActiveX-Steuerelements benachrichtigt. Alle ActiveX-Steuerelemente im Dokument müssen als SFI gekennzeichnet sein, damit dieses Verhalten auftritt.

  • Wenn ein ActiveX-Steuerelement als nicht sicher zur Initialisierung (Unsafe For Initialization, UFI) gekennzeichnet und in einem Dokument enthalten ist, das kein VBA-Projekt enthält, werden Benutzer auf der Statusleiste benachrichtigt, dass ActiveX-Steuerelemente deaktiviert sind. Die Benutzer können jedoch auf die Statusleiste klicken, um ActiveX-Steuerelemente zu aktivieren. Wenn ein Benutzer ActiveX-Steuerelemente aktiviert, werden alle ActiveX-Steuerelemente (die als UFI gekennzeichneten und die als SFI gekennzeichneten) mit beständigen Werten im sicheren Modus geladen.

  • Wenn ein ActiveX-Steuerelement als UFI oder SFI gekennzeichnet und in einem Dokument enthalten ist, das außerdem ein VBA-Projekt enthält, werden Benutzer auf der Statusleiste benachrichtigt, dass ActiveX-Steuerelemente deaktiviert sind. Die Benutzer können jedoch auf die Statusleiste klicken, um ActiveX-Steuerelemente zu aktivieren. Wenn ein Benutzer ActiveX-Steuerelemente aktiviert, werden alle ActiveX-Steuerelemente (die als UFI gekennzeichneten und die als SFI gekennzeichneten) mit beständigen Werten im sicheren Modus geladen.

WichtigWichtig:
Wenn ein Killbit in der Registrierung für ein ActiveX-Steuerelement festgelegt ist, wird das Steuerelement wird nicht geladen und kann unter keinen Umständen geladen werden. Die Statusleiste wird nicht angezeigt, und Benutzer werden nicht darüber benachrichtigt, dass ActiveX-Steuerelemente vorhanden sind. Mehr Informationen zu Killbits finden Sie in dem dreiteiligen TechNet-Block Häufig gestellte Fragen zu Killbit.

Informationen zum Ändern des Standardverhaltens von ActiveX-Steuerelementen finden Sie unter Planen von Sicherheitseinstellungen für ActiveX-Steuerelemente für Office 2013.

Sie können Einstellungen für Add-Ins verwenden, um Add-Ins zu deaktivieren, um festzulegen, dass Add-Ins von einem vertrauenswürdigen Herausgeber signiert sein müssen, und um Benachrichtigungen für Add-Ins zu deaktivieren. Standardmäßig können installierte und registrierte Add-Ins ohne Benutzereingriff oder Warnung ausgeführt werden. Informationen zum Ändern dieses Standardverhaltens finden Sie unter Planen von Sicherheitseinstellungen für Add-Ins für Office 2013.

Verwenden Sie eine Gruppenrichtlinie oder das Trust Center, um den Zugriff für Benutzer in Ihrer Organisation auf die Apps aus dem Office Store oder Ihrem Unternehmenskatalog von Apps für Office einzuschränken, oder diesen zu verweigern. Diese Apps für Office sind Weberweiterungen, die die Office-Clientanwendungen für verbesserte Office-Inhalte erweitern und neue interaktive Inhaltstypen und Funktionen bereitstellen.

Sicherheitsmaßnahmen wie Kennwortschutz für ein Dokument oder ein Arbeitsblatt funktionieren solange gut, bis der Besitzer das Kennwort vergisst oder aus dem Unternehmen ausscheidet. Der IT-Administrator kann nun die Clientcomputer einer Organisation so einrichten, dass Zertifikatsmetadaten in diesen kennwortgeschützten Office-Dokumenten enthalten sind. Wenn das Kennwort verloren geht oder vergessen wird, können Sie das DocRecrypt-Tool verwenden, um das Kennwort für das Dokument zu entfernen oder zu ändern. Weitere Informationen finden Sie im Artikel Entfernen oder Zurücksetzen von Dateikennwörtern in Office 2013.

Sie können die Einstellungen für digitale Signaturen im Office-Anpassungstool verwenden, um die XAdES-Stufe (XML Advanced Electronic Signature) der Signatur zu konfigurieren. Standardmäßig erstellt Office 2013 eine XAdES-EPES-Signatur (Explicit Policy Electronic Signature). IT-Administratoren können Sie auch das Signieren von Zertifikaten bei der Anmeldung Zertifikate nach dem Ausstellernamen einschränken. IT-Administratoren können auch konfigurieren, welche Hashalgorithmen und öffentliche Schlüsselgrößen in gültigen digitalen Signaturen zulässig sind. Konfigurieren Sie diese Einstellungen im Office-Anpassungstool. Weitere Informationen finden Sie im Artikel Planen von Einstellungen für digitale Signaturen für Office 2013.

Sie können Einstellungen für externe Inhalte verwenden, um die Methode zu ändern, mit der in Office 2013-Anwendungen auf externe Inhalte zugegriffen wird. Externe Inhalte sind alle Inhalte, auf die remote zugegriffen wird, beispielsweise Datenverbindungen und Arbeitsmappenverknüpfungen, Links zu Websites und Dokumenten sowie Verknüpfungen mit Bildern und Medien. Wenn Benutzer eine Datei öffnen, die Verknüpfungen mit externen Inhalten enthält, werden die Benutzer standardmäßig über die Statusleiste benachrichtigt, dass die Verknüpfungen deaktiviert sind. Benutzer können die Verknüpfungen durch Klicken oder Tippen auf die Statusleiste aktivieren. Es wird empfohlen, diese Standardeinstellungen nicht zu ändern. Weitere Informationen zum Sperren oder Entsperren externer Inhalte in Office-Dokumenten finden Sie unter Sperren oder Entsperren externer Inhalte in Office-Dokumenten.

Sie können Einstellungen für den Zugriffsschutz verwenden, um das Öffnen oder Speichern bestimmter Dateitypen zu verhindern. Außerdem können Sie mit diesen Einstellungen verhindern oder erzwingen, dass bestimmte Dateitypen in der geschützten Ansicht geöffnet werden. Standardmäßig wird in Excel 2013, PowerPoint 2013 und Word 2013 erzwungen, dass verschiedene Dateitypen nur in der geschützten Ansicht geöffnet werden. Benutzer können diese Dateitypen nicht zum Bearbeiten öffnen. Weitere Informationen finden Sie unter Planen von Einstellungen für den Zugriffsschutz für Office 2013.

Sie können Einstellungen für die Office-Dateiüberprüfung verwenden, um das Feature Office-Dateiüberprüfung zu deaktivieren und die Behandlung von Dateien mit nicht erfolgreicher Überprüfung durch das Feature Office-Dateiüberprüfung zu ändern. Außerdem können Sie mit diesen Einstellungen verhindern, dass Benutzer bei der Office-Dateiüberprüfung aufgefordert werden, Überprüfungsinformationen an Microsoft zu senden. Das Feature Office-Dateiüberprüfung ist standardmäßig aktiviert. Dateien mit nicht erfolgreicher Überprüfung werden in der geschützten Ansicht geöffnet und können danach von Benutzern bearbeitet werden. Weitere Informationen zu den Einstellungen für die Office-Dateiüberprüfung finden Sie unter Planen von Office-Dateiüberprüfungseinstellungen für Office 2013.

Sie können Einstellungen für die Kennwortkomplexität verwenden, um eine bestimmte Länge und Komplexität für Kennwörter zu erzwingen, die mit dem Feature „Mit Kennwort verschlüsseln“ verwendet werden. Mithilfe der Einstellungen für die Kennwortkomplexität können Sie die Kennwortlänge und -komplexität auf Domänenebene erzwingen, wenn in der Organisation mithilfe von Domänengruppenrichtlinien Kennwortkomplexitätsregeln festgelegt wurden, oder auf lokaler Ebene erzwingen, wenn in der Organisation keine domänenbasierten Gruppenrichtlinien für die Kennwortkomplexität implementiert sind. Standardmäßig wird die Kennwortlänge oder -komplexität in Office 2013-Anwendungen nicht überprüft, wenn Benutzer eine Datei mit dem Feature „Mit Kennwort verschlüsseln“ verschlüsseln. Weitere Informationen finden Sie unter Planen von Kennwortkomplexitätseinstellungen für Office 2013.

Sie können Datenschutzoptionen verwenden, um zu verhindern, dass das Dialogfeld Willkommen bei Microsoft Office  2013 angezeigt wird, wenn Benutzer erstmals Office 2013 starten. In diesem Dialogfeld können sich Benutzer für verschiedene internetbasierte Dienste registrieren, mit denen Office 2013-Anwendungen geschützt und verbessert werden können. Sie können die Datenschutzoptionen auch verwenden, um die internetbasierten Dienste zu aktivieren, die im Dialogfeld Willkommen bei Microsoft Office 2013 angezeigt werden. Standardmäßig wird das Dialogfeld Willkommen bei Microsoft Office 2013 angezeigt, wenn Benutzer Office 2013 erstmals starten. Benutzer können die empfohlenen internetbasierten Dienste aktivieren, nur einen Teil der Dienste aktivieren oder keine Konfigurationsänderungen vornehmen. Wenn Benutzer keine Konfigurationsänderungen vornehmen, werden die folgenden Standardeinstellungen wirksam:

  • In Office 2013-Anwendungen werden keine kleinen Programme heruntergeladen, mit denen Probleme diagnostiziert werden können. Informationen zu Fehlermeldungen werden nicht an Microsoft gesendet.

  • Die Benutzer sind nicht beim Programm zur Verbesserung der Benutzerfreundlichkeit registriert.

Weitere Informationen zum Ändern dieses Standardverhaltens oder zum Unterdrücken des Dialogfelds Willkommen bei Microsoft Office 2013 finden Sie unter Planen von Datenschutzoptionen für Office 2013.

Sie können Einstellungen für die geschützte Ansicht verwenden, um das Öffnen von Dateien in der geschützten Ansicht zu verhindern oder zu erzwingen. Außerdem können Sie angeben, ob Skripts und Programme, die in Sitzung 0 ausgeführt werden, in der geschützten Ansicht geöffnet werden. Die geschützte Ansicht ist standardmäßig aktiviert, und alle nicht vertrauenswürdigen Dateien werden in der geschützten Ansicht geöffnet. Skripts und Programme, die in Sitzung 0 ausgeführt werden, werden nicht in der geschützten Ansicht geöffnet.

Zu den Verbesserungen bei der geschützten Ansicht gehört eine neue „Sandkasten“-Technologie, wenn Office 2013 unter Windows 8 verwendet wird. Im Rahmen dieser Verbesserungen kann die geschützte Ansicht nun in RunAs- und remoteApp-Szenarien in Windows 8 verwendet werden.

Weitere Informationen zu Einstellungen der geschützten Ansicht finden Sie unter Planen der Einstellungen für die geschützte Ansicht in Office 2013.

HinweisHinweis:
Sie können auch Einstellungen für den Zugriffsschutz verwenden, um das Öffnen bestimmter Dateitypen in der geschützten Ansicht zu verhindern oder zu erzwingen.

Sie können Einstellungen für vertrauenswürdige Dokumente verwenden, um das Feature „Vertrauenswürdige Dokumente“ zu deaktivieren und zu verhindern, dass Benutzer in Netzwerkfreigaben gespeicherte Dokumente als vertrauenswürdig einstufen. Bei vertrauenswürdigen Dokumenten werden die meisten Sicherheitsüberprüfungen beim Öffnen umgangen, und alle aktiven Inhalte sind aktiviert. Beachten Sie, das die Überprüfung auf Viren und die Überprüfung auf das ActiveX-Killbit nicht umgangen werden können. Das Feature „Vertrauenswürdige Dokumente“ ist standardmäßig aktiviert; das heißt, dass Benutzer sichere Dateien als vertrauenswürdige Dokumente festlegen können. Außerdem können Benutzer Dateien in Netzwerkfreigaben als vertrauenswürdige Dokumente festlegen. Es wird empfohlen, diese Standardeinstellungen nicht zu ändern.

Sie können Einstellungen für vertrauenswürdige Speicherorte verwenden, um sichere Speicherorte für Dateien festzulegen. Bei Dateien, die in vertrauenswürdigen Speicherorten gespeichert sind, werden die meisten Sicherheitsüberprüfungen beim Öffnen umgangen, und alle Inhalte in der Datei werden aktiviert (die Überprüfung auf Viren und die Überprüfung auf das ActiveX-Killbit können nicht umgangen werden). Verschiedene Speicherorte sind standardmäßig als vertrauenswürdige Speicherorte festgelegt. Vertrauenswürdige Speicherorte in einem Netzwerk, beispielsweise freigegebene Ordner, sind deaktiviert. Informationen zum Ändern dieses Standardverhaltens und zum Ermitteln der standardmäßig als vertrauenswürdige Speicherorte festgelegten Speicherorte finden Sie unter Planen und Konfigurieren der Einstellungen für vertrauenswürdige Speicherorte für Office 2013.

Sie können Einstellungen für vertrauenswürdige Herausgeber verwenden, um bestimmte Arten aktiver Inhalte als sicher festzulegen, beispielsweise ActiveX-Steuerelemente, Add-Ins und VBA-Makros. Wenn ein Herausgeber aktive Inhalte mit einem digitalen Zertifikat signiert und Sie das digitale Zertifikat der Liste der vertrauenswürdigen Herausgeber hinzufügen, werden die aktiven Inhalte als vertrauenswürdig erachtet. Standardmäßig ist die Liste der vertrauenswürdigen Herausgeber leer. Sie müssen Herausgeber zur Liste der vertrauenswürdigen Herausgeber hinzufügen, um dieses Sicherheitsfeature zu implementieren. Informationen zum Implementieren des Features Vertrauenswürdige Herausgeber finden Sie unter Planen und Konfigurieren von Einstellungen für vertrauenswürdige Herausgeber für Office 2013.

Sie können Einstellungen für VBA-Makros verwenden, um das Verhalten von VBA-Makros zu ändern, VBA zu deaktivieren und das Verhalten von VBA-Makros in programmgesteuert gestarteten Anwendungen zu ändern. Standardmäßig ist VBA aktiviert, und vertrauenswürdige VBA-Makros können ohne Benachrichtigung ausgeführt werden. Zu den vertrauenswürdigen VBA-Makros gehören VBA-Makros, die von einem vertrauenswürdigen Herausgeber signiert sind, in einem vertrauenswürdigen Dokument gespeichert sind oder in einem Dokument in einem vertrauenswürdigen Speicherort gespeichert sind. Nicht vertrauenswürdige VBA-Makros sind deaktiviert, können jedoch über eine Benachrichtigung auf der Statusleiste aktiviert werden. Außerdem können VBA-Makros in programmgesteuert gestarteten Anwendungen ausgeführt werden.

Weitere Informationen zum Ändern dieses Standardverhaltens finden Sie unter Planen von Sicherheitseinstellungen für VBA-Makros für Office 2013.

Anzeigen: