Dass Microsoft die Strategie „Cloud only“ forciert, weiß man seit längerem. Da die Entwicklung und Absicherung primär für die Onlinedienste und Miet-Anwendungen stattfindet, sind Kaufversionen in der #Risiko Einstufung mit einem deutlich höheren Risiko behaftet:
- Microsoft #Office365 erhält alle 14 Tage ein Sicherheitsupdate, alle 14 Tage ein kombiniertes Funktions- und Sicherheitsupdates UND Notfall – Patches außer der Reihe. Wenn Admins die Updates für Office auf den monthly channel gesetzt haben, verteilen sich diese Updates bei Verbindung zum Internet oder zur Installationsquelle im Netzwerk sehr zeitnah
- Es gibt nur hierfür Gruppenrichtlinien, die den Betrieb und die Funktionalität zentral steuerbar machen. So lassen sich Makros und die generelle Ausführung von unsignierten Quellen und Codes abschalten
- Die Kaufversionen 2013, 2016, 2019, 2022 erhalten Sicherheitsupdates nur noch für 5 Jahre, danach müssen diese Versionen neu erworben werden (Ausnahme: Volumenlizenzen mit Software-Assurance)
Aktuell gibt es in allen #Windows Versionen eine Sicherheitslücke im Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8, Risiko hoch). Öffnen Mitarbeitende eine Word-Datei mit einer der Kauf-Versionen, lässt sich diese Schwachstelle nutzen, um im schlimmsten Fall Bereiche des Firmennetzwerks, die im Schreibzugriff liegen, zu verschlüsseln.
Wie auch schon bei #Hafnium sind die aktuellen Miet-Versionen von Microsoft 365, aka. Office 365 durch die Richtlinie geschützt. Verschärft man die Richtlinie und entzieht den Benutzenden die Möglichkeit, die Warnung zu deaktivieren (in dem Fall ist die Meldungszeile rot hinterlegt), hat der Angriff mit dem „Trittbrett“ Word keine Chance.
Fazit
Im Rahmen einer Risiko-Einschätzung sind die Miet-Versionen von Office bzw. die Onlinedienste von Microsoft signifikant sicherer, da die Kaufversionen weder über wirksame Gruppenrichtlinien verfügen, noch zeitnah aktualisiert werden können. Auch wenn ein Office 2021 Home & Business auf den ersten Blick sehr günstig erscheint, zahlt man mit hohem Risiko einer Schadprogramm-Infektion. Verbunden mit all den enthaltenen (Online-Diensten) und Sicherheits- und Compliance Funktionen ist die Mietvariante immer zukunftsweisender. Dabei hebt sich insbesondere vom Preis-Leistungsverhältnis der Microsoft 365 Business Premium Plan hervor:
https://m365maps.com/Microsoft%20365%20Business%20Premium.htm
Kommentare