Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 8 Min.

Software: Office sicher einstellen


PC Welt - epaper ⋅ Ausgabe 11/2019 vom 04.10.2019

Die meisten Viren kommen per Mail auf den Rechner – und am häufigsten stecken die Schädlinge in Office-Dateien für Microsoft Word, Excel & Co. Für mehr Schutz gegen solche und andere Angriffe hat nun das BSI die besten Sicherheitseinstellungen für Office veröffentlicht.


Artikelbild für den Artikel "Software: Office sicher einstellen" aus der Ausgabe 11/2019 von PC Welt. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Foto: © Alex – AdobeStock

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich Microsoft Office vorgenommen und herausgefunden, was die besten Einstellungen hinsichtlich Sicherheit, Datenschutz und Funktionalität sind. Angewendet werden diese Einstellungen per Gruppenrichtlinien. In diesem Beitrag stellen wir die ...

Weiterlesen
epaper-Einzelheft 2,99€
NEWS 30 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Welt. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 11/2019 von Bunt: Herbst-Update für Windows 10 ist fertig. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bunt: Herbst-Update für Windows 10 ist fertig
Titelbild der Ausgabe 11/2019 von Neue Apple-Produkte: Apple mit elf neuen Diensten und Geräten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Neue Apple-Produkte: Apple mit elf neuen Diensten und Geräten
Titelbild der Ausgabe 11/2019 von Internet: PC-WELT-Surftipp des Monats. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Internet: PC-WELT-Surftipp des Monats
Titelbild der Ausgabe 11/2019 von Sicherheit: Patch Day: Microsoft stopft 0-Day-Lücken. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Sicherheit: Patch Day: Microsoft stopft 0-Day-Lücken
Titelbild der Ausgabe 11/2019 von Hardware: Smartphone mit Dual-Display. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Hardware: Smartphone mit Dual-Display
Titelbild der Ausgabe 11/2019 von Software: Nero Platinum. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Software: Nero Platinum
Vorheriger Artikel
Windows: Sicherer & vielseitiger: Der Uefi-Modus
aus dieser Ausgabe
Nächster Artikel Hardware: Tinte kaufen – Geld sparen!
aus dieser Ausgabe

... Empfehlungen des BSI vor, erklären ausführlich, wie Sie diese Einstellungen für Ihr Office umsetzen können, und haben außerdem alle BSI-Empfehlungen auf die Heft-DVD gepackt, sortiert nach Programm in sieben PDF-Dokumenten.

So sieht ein sicheres Office aus

Sicherheit, Datenschutz und Komfort vertragen sich meist nicht gut miteinander. Wenn Sie sich etwa einen Text in Word in eine andere Sprache übersetzen lassen, ist das sehr komfortabel. Doch Word lädt den Text dafür auf Microsoft-Server, wo er grundsätzlich für Microsoft einsehbar ist. Wenn Sie diese Funktion deaktivieren, erhöhen Sie den Datenschutz, verlieren aber Komfort. Das BSI selbst weist ausdrücklich darauf hin, dass es sich bei den empfohlenen Einstellungen um einen Kompromiss zwischen Datenschutz, Sicherheit und Funktionalität handelt. Im Fokus stehen bei den BSI-Empfehlungen mittelgroße und große Firmen. Wir sehen dabei allerdings eine große Deckung mit den Bedürfnissen eines Privatanwenders. Auch dieser möchte produktiv arbeiten und entsprechende Online- Funktionen von Office nutzen, ohne deswegen auf ein sicheres Outlook verzichten zu müssen.
Dennoch bleiben die Vorlagen des BSI ein Kompromiss – für Firmen genauso wie für den Nutzer zu Hause. Prüfen Sie also die genannten Einstellungen, ob Sie bei Ihrem Office die Zügel nicht doch fester anlegen wollen – oder mehr erlauben möchten.


„Die Tipps vom BSI sorgen bei Ihren Office-Anwendungen für mehr Sicherheit und Datenschutz.“


Voraussetzung: Windows Pro

Es müssen vier Voraussetzungen erfüllt sein, damit Sie die BSI-Empfehlungen umsetzen können.
1. Windows Pro: Sie benötigen Windows Pro 7, 8 oder 10. Die Pro-Version ist nötig, da die Einstellungen per Gruppenrichtlinien umgesetzt werden. Und diese benötigen das Tool „Editor für Gruppenrichtlinien“ (Befehl gpedit.msc), das nur in der Pro-Version funktioniert.
2. Office: Außerdem benötigen Sie Microsoft Office 2013, 2016 oder 2019. Das BSI weist darauf hin, dass einige Einstellungen auf Office 2013 keine Auswirkung haben, da es die entsprechende Funktion in dieser Version noch nicht gibt. In unserem Test funktionierten die Einstellungen auch für Office 365. Allerdings kommen bei dieser Abo-Version laufend neue Funktionen hinzu, sodass sich durch ein Update die Sicherheitskonfiguration ändern kann.
3. BSI-Empfehlungen: Seine Vorschläge bietet das BSI in sieben PDF-Dateien an. Sie finden Sie allesamt auf Heft-DVD sowie in einem Auszug in der Tabelle am Ende dieses Beitrags.
4. Gruppenrichtlinien-Vorlagen: Von Microsoft selber stammen die Gruppenrichtlinien- Vorlagen, die per ADMX-Dateien daherkommen (Download unterwww.pcwelt.de/tPPwQ4 ). Es gibt sie für 32- und 64-Bit- Systeme. In den Gruppenrichtlinien ist an fast allen Stellen in den Beschreibungstexten nur von „Office 2016“ die Rede. Dennoch gelten die Richtlinien offiziell auch für Office 2019 und 365. Microsoft hat sich einfach die Arbeit erspart, die Angaben in den Texten zu korrigieren. Laut BSI funktionie- ren die Regeln zudem auch für Office 2013, wenn auch mit kleinen Einschränkungen.

Der „Editor für Gruppenrichtlinien“ in den Pro-Versionen von Windows verwaltet viele Einstellungen von Windows und Windows-Anwendungen, etwa Office. Nach dem Start präsentiert sich das Tool wie auf dieser Abbildung.


Sie können per Gruppenrichtlinie verhindern, dass Windows Ihre zuletzt geöffneten Dateien zeigt.


Der Gruppenrichtlinien-Editor

Microsoft gibt Administratoren Gruppenrichtlinien an die Hand, um damit beliebig viele PCs auf einen Schlag konfigurieren zu können. Die Gruppenrichtlinien werden in diesem Fall auf einem Server verwaltet und von diesem aus an die PCs verteilt. Auf Englisch wird eine Gruppenrichtlinie „Group Policy Object“ genannt, weshalb in Fachtexten oft die Abkürzung GPO auftaucht. Eine einzelne Richtlinie steuert eine Einstellung einer Windows-Funktion oder -anwendung. Gruppenrichtlinien-Vorlagen, wie Sie sie von Microsoft herunterladen können, sind ein ganzes Bündel von Richtlinien.
In unserem Fall steuern die Microsoft-Vorlagen für Office über 3000 Einstellungen für das Büropaket. Das BSI hat daraus 457 Richtlinien für eine sichere Konfiguration herausgesucht. Grundsätzlich funktioniert die Nutzung der Richtlinien auch ohne Server, denn das Tool „Editor für Gruppenrichtlinien“ ist in jedem Windows Pro integriert. Starten Sie die Software unter Windows 10, indem Sie in das Suchfeld gpedit eingeben und dann „Gruppenrichtlinie bearbeiten“ aus dem Menü auswählen. Alternativ geben Sie die Tastenkombination Windows-R ein und dann gpedit.msc eingeben.
Wir gehen hier von einem Heim-PC aus, der an keinen Firmen-Server angeschlossen ist. Im Editor für Gruppenrichtlinien finden sich dann links unter dem Eintrag „Richtlinien für Lokaler Computer“ die Punkte „Computerkonfiguration“ und „Benutzerkonfiguration“, die weitere Unterordner enthalten. Die Wege zu diesen Einträgen bis hin zu einer Regel beschreiben wir wie Menübefehle, etwa „Benutzerkonfiguration –› Administrative Vorgaben –› Startmenü und Taskleiste –› Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren“. Das ist ein Beispiel für eine Gruppenrichtlinie, die eine Einstellung von Windows betrifft. Es geht um die Liste der zuletzt geöffneten Dateien und Ordner. Diese Liste können Sie sich unter „C:\User\[Benutzername]\ Recent“ im Windows-Explorer anzeigen lassen.
Wer nicht möchte, dass Windows diese Information über das Nutzerverhalten speichert, lässt die Liste bei jedem Herunterfahren von Windows löschen. Das geht über die eben genannte Richtlinie „Benutzerkonfiguration –› Administrative Vorgaben –› Startmenü und Taskleiste –› Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren“. Wählen Sie dort „Aktiviert“ und bestätigen Sie mit „OK“. Diese Gruppenrichtlinie ist bereits in Windows integriert. Die Richtlinien für Office müssen Sie zuerst von Microsoft herunterladen, entpacken und in das richtige Verzeichnis kopieren.
Das Entpacken der Gruppenrichtlinie geht über einen Doppelklick auf die Datei admintemplates_ x64_4888-1000_en-us.exe für 64-Bit-Systeme, wobei Sie den Ordner angeben können, in dem der Inhalt gespeichert werden soll. Wechseln Sie in diesen Ordner und dann in das Verzeichnis „ADMX“. Darin markieren Sie alle Dateien mit der Endung .ADMX und den Ordner „dede“. Diese Auswahl kopieren Sie in den Ordner C:\Windows\ PolicyDefinitions (oder %SYSTEMROOT%\PolicyDefinitions).
Bei diesen ADMX-Dateien (Administrationsdateien) handelt es sich um die Vorlagendateien für Office, die wirksam sind, sobald Sie sie in den Ordner PolicyDefinitions kopiert haben. Bearbeiten lassen sie sich mit dem genannten „Editor für Gruppenrichtlinien“, der intern auch „Gruppenrichtlinienobjekt- Editor“ genannt wird.

Die Vorlagen-Dateien für die Office-Gruppenrichtlinien kommen als EXE-Datei. Ein Doppelklick darauf entpackt die Vorlagen-Dateien im ADMX-Format in ein von Ihnen wählbares Verzeichnis.


So sehen die PDF-Dateien des BSI mit den Empfehlungen für die Gruppenrichtlinien von Microsoft Office aus. Insgesamt gibt es sieben PDFs, die zwischen 19 und 111 Regeln umfassen.


BSI-Tabelle im Heft und auf DVD

Am Ende dieses Beitrags haben wir die Empfehlungen des BSI zu Einstellung der Gruppenrichtlinien für Office auszugsweise abgedruckt. Die Daten entsprechen dem Inhalt des PDFs „Sichere Konfiguration von Microsoft Office 2013/2016/2019“ mit dem Dateiname BSI-CS_135.pdf. Es stellt für alle Anwendungen von Office grundlegende Weichen in Sachen Sicherheit. Entsprechend lohnt es sich, sich die Empfehlungen dieses Dokuments anzusehen. Für die sechs Einzelprogramme Access, Excel, Outlook, Powerpoint, Visio und Word gibt es eigene PDFs (alle auf der Heft-DVD).

Vorsicht bei Änderungen

Die BSI-Empfehlungen für die sichere Konfiguration stellen ein gutes Gesamtpaket dar. Die einzelnen Richtlinien haben dabei unterschiedlich große Auswirkungen auf Ihr Office. So hat etwa die Empfehlung Nummer 46 „Veröffentlichen auf einem DAV-Server verhindern“ aus den Richtlinienempfehlungen für Outlook keinen Einfluss auf die meisten privaten Installationen. Es sei denn, Sie haben sich Ihren Outlook-Kalender auf einen Onlineserver ausgeleitet. Doch auch wenn diese Einstellung bei Ihnen keine Auswirkung hat, ist es sinnvoll, sie zu aktivieren. Denn dann kann auch kein Schadcode Ihren Kalender auf einen DAV-Server ausleiten. Andere Einstellungen haben auf Heim-Installationen ebenfalls keine sinnvolle Auswirkung, sollten aber nicht gesetzt werden. So etwa die BSI-Empfehlung Nummer 68 „Alle E-Mail-Nachrichten signieren“ aus den Richtlinienempfehlungen für Outlook. Denn die meisten Heiminstallationen haben kein Zertifikat fürs Signieren einer Mail installiert. Wer diese Empfehlung aktiviert, erhält beim Versand einer Mail eine Fehlermeldung und kann die Nachricht nicht abschicken. Das klappt erst dann wieder, wenn Sie die Richtlinie zurück auf „Deaktiviert“ oder „Nicht konfiguriert“ gesetzt haben. Darum gilt grundsätzlich: Ändern Sie nur die Richtlinien, die Sie auch verstehen.

Wichtige Beschreibungstexte

Der Name einer Regel ist meist nur ein paar Wörter lang. In vielen Fällen reicht das nicht aus, um ihre Aufgabe zu verstehen. Gehen Sie in diesen Fällen im Gruppenrichtlinien- Editor zur genannten Regel und klicken Sie diese an. Es erscheint ein Beschreibungstext, der meist Klarheit in die Auswirkungen der Regel bringt. Zumindest wir fanden es dabei hilfreich, sowohl den Absatz zur Wirkung bei „Aktivieren“ als auch den bei „Deaktivieren“ zu lesen.
Falls sich auch dann die Auswirkung der Regel nicht erschließt und auch eine Google- Suche nicht weiterhilft, kann man von einer Änderung entweder die Finger lassen oder Sie notieren sich den Schlüssel in einer separaten Liste. Sollte Office dann mal nicht wie gewünscht reagieren, können Sie auf diese Liste zurückgreifen und die gemach- ten Änderungen testweise zurücknehmen. Das funktioniert allerdings auch nur dann, wenn diese Liste nicht zu viele Einträge hat.

Die Regel „Office-Dokumente beim Browsen mit Lese-/Schreibzugriff senden“ (in BSI-CS_135.pdf) ist ein gutes Beispiel für den Beschreibungstext: Erst wenn man den kompletten Text liest, versteht man die Regel.


Wenn Sie über die Gruppenrichtlinien für Office die „verbundenen Erfahrungen“ deaktivieren, funktioniert der Übersetzer in Word & Co. nicht mehr. Das ist gut für den Datenschutz, aber schlecht für den Komfort.


Große Hebel für mehr Sicherheit

Das BSI hat aus über 3000 rund 460 Regeln herausgesucht. Davon sind für typische Office-Installationen zu Hause vielleicht rund 150 bis 200 Regeln sinnvoll. Welche das sind, hängt jedoch von Ihrer Nutzung und Konfiguration ab, weshalb wir keine weitere Eingrenzung des Regelsatzes vornehmen können. Was uns aufgefallen ist, sind ein paar große Hebel für die Konfiguration. Es sind die BSI-Empfehlungen 56 bis 59 fürOffice im Dokument BSI-CS_135. pdf . Es geht um die Regeln für „verbundene Erfahrungen“. So können Sie etwa Regel 56 „Die Verwendung verbundener Erfahrungen in Office zulassen“ deaktivieren und haben damit die Übersetzungsfunktion in allen Office-Anwendungen ebenso deaktiviert wie etliche weitere Onlinefunktionen. Was alles hinter den „verbundenen Erfahrungen“ steckt, verrät Microsoft unterwww.pcwelt.de/4TmI8P . Natürlich ist bei einem so großen Hebel auch der Verlust an Komfort und Funktionalität besonders groß. Entsprechend bleiben beim BSI die „verbundenen Erfahrungen“ aktiviert.
Mehr Sicherheitfür Outlook gemäß BSICS_139.pdf: Unterhalb von „Benutzerkonfiguration –› Administrative Vorlagen –› Microsoft Outlook 2016 –› Sicherheit“ konfigurieren Sie den Schutz für Ihr Outlook. Die Sicherheitseinstellungen für Makros finden Sie an dieser Stelle im Unterordner „Trust Center“ und den BSI-Empfehlungen 109 bis 111. Doch auch die übrigen Empfehlungen haben allesamt Auswirkungen auf die Sicherheit von Outlook. So verhindert Empfehlung 25 „Alle nicht verwalteten Add-ins blockieren“, dass sich heimlich ein verseuchtes Add-in einschleicht. Allerdings geht das zulasten des Komforts, denn wenn Sie diese Richtlinie aktivieren, können auch Sie selber kein Add-in installieren.

Empfehlung: So gehen Sie vor

Sie profitieren am besten von den BSI-Einstellungen, wenn Sie sich alle 457 Vorgaben ansehen und die für Sie passenden umsetzen. Das ist allerdings eine sehr zeitaufwendige Arbeit. Wer nicht so viel Zeit investieren möchte, sollte sich zumindest die BSI-Empfehlungen zu Office (Dokument BSI-CS_135. pdf, ab Seite 44 und auf Heft-DVD) ansehen und die persönlich interessanten Einstellungen übernehmen. Darüber hinaus kommt es darauf an, mit welcher Anwendung Sie außerdem arbeiten. Wenn Sie Microsoft Projekt nicht verwenden, müssen Sie die Richtlinien auch nicht konfigurieren. Nutzen Sie aber noch Outlook (Dokument BSI-CS_139. pdf) und Excel (BSI-CS_136.pdf), lohnt sich bestimmt auch ein Blick in diese Listen.
Alles rückgängig machen: Sollte eine Office- Anwendung nach dem Aktivieren der neuen Richtlinien nicht mehr wie gewünscht funktionieren und Sie wissen nicht, welche Richtlinie genau schuld daran ist, dann können Sie auch einfach die Gruppenrichtliniendatei aus dem Ordner C:\Windows\ Policy- Definitions verschieben oder löschen. Sollte etwa Outlook betroffen sein, verschieben Sie die Datei outlk16.admx; ist Word betroffen, wählen Sie word16.admx. Sollte das nicht helfen, verschieben oder löschen Sie office16.admx, also die Gruppenrichtlinienvorlage, die Änderungen für alle Office-Anwendungen vornimmt.
Und zum Schluss noch ein Hinweis des BSI: „Die Konfiguration der Gruppenrichtlinien hilft nur dabei, die Angriffsfläche […] zu verringern.“ Ein Restrisiko bleibt bestehen.