Risiko-Beurteilung Office Kaufversionen

Dass Microsoft die Strategie „Cloud only“ forciert, weiß man seit längerem. Da die Entwicklung und Absicherung primär für die Onlinedienste und Miet-Anwendungen stattfindet, sind Kaufversionen in der Einstufung mit einem deutlich höheren Risiko behaftet:

  • Microsoft erhält alle 14 Tage ein Sicherheitsupdate, alle 14 Tage ein kombiniertes Funktions- und Sicherheitsupdates UND Notfall – Patches außer der Reihe. Wenn Admins die Updates für Office auf den monthly channel gesetzt haben, verteilen sich diese Updates bei Verbindung zum Internet oder zur Installationsquelle im Netzwerk sehr zeitnah
  • Es gibt nur hierfür Gruppenrichtlinien, die den Betrieb und die Funktionalität zentral steuerbar machen. So lassen sich Makros und die generelle Ausführung von unsignierten Quellen und Codes abschalten
  • Die Kaufversionen 2013, 2016, 2019, 2022 erhalten Sicherheitsupdates nur noch für 5 Jahre, danach müssen diese Versionen neu erworben werden (Ausnahme: Volumenlizenzen mit Software-Assurance)

Aktuell gibt es in allen Versionen eine Sicherheitslücke im Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8, Risiko hoch). Öffnen Mitarbeitende eine Word-Datei mit einer der Kauf-Versionen, lässt sich diese Schwachstelle nutzen, um im schlimmsten Fall Bereiche des Firmennetzwerks, die im Schreibzugriff liegen, zu verschlüsseln.

Wie auch schon bei sind die aktuellen Miet-Versionen von Microsoft 365, aka. Office 365 durch die Richtlinie geschützt. Verschärft man die Richtlinie und entzieht den Benutzenden die Möglichkeit, die Warnung zu deaktivieren (in dem Fall ist die Meldungszeile rot hinterlegt), hat der Angriff mit dem „Trittbrett“ Word keine Chance.

Fazit

Im Rahmen einer Risiko-Einschätzung sind die Miet-Versionen von Office bzw. die Onlinedienste von Microsoft signifikant sicherer, da die Kaufversionen weder über wirksame Gruppenrichtlinien verfügen, noch zeitnah aktualisiert werden können. Auch wenn ein Office 2021 Home & Business auf den ersten Blick sehr günstig erscheint, zahlt man mit hohem Risiko einer Schadprogramm-Infektion. Verbunden mit all den enthaltenen (Online-Diensten) und Sicherheits- und Compliance Funktionen ist die Mietvariante immer zukunftsweisender. Dabei hebt sich insbesondere vom Preis-Leistungsverhältnis der Microsoft 365 Business Premium Plan hervor:
https://m365maps.com/Microsoft%20365%20Business%20Premium.htm

Zusammenfassung
  1. Verschärft man die Richtlinie und entzieht den Benutzenden die Möglichkeit, die Warnung zu deaktivieren (in dem Fall ist die Meldungszeile rot hinterlegt), hat der Angriff mit dem "Trittbrett" Word keine Chance.
  2. Wenn Admins die Updates für Office auf den monthly channel gesetzt haben, verteilen sich diese Updates bei Verbindung zum Internet oder zur Installationsquelle im Netzwerk sehr zeitnahEs gibt nur hierfür Gruppenrichtlinien, die den Betrieb und die Funktionalität zentral steuerbar machen.
  3. Da die Entwicklung und Absicherung primär für die Onlinedienste und Miet-Anwendungen stattfindet, sind Kaufversionen in der #Risiko Einstufung mit einem deutlich höheren Risiko behaftet: Microsoft #Office365 erhält alle 14 Tage ein Sicherheitsupdate, alle 14 Tage ein kombiniertes Funktions- und Sicherheitsupdates UND Notfall - Patches außer der Reihe.
Verwandte Beiträge

Über den Autor:

Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert