Dokumente aus veralteten Office-Versionen bergen Gefahren für die IT-Sicherheit
Office-Anwendungen wie Word, Excel oder Power Point sind die am weitesten verbreiteten Computerprogramme. Laut „Statista“ nutzen 85 Prozent der deutschen Unternehmen diese Standard-Software. Immer noch gibt es auch Anwender, die sehr alte Versionen dieser Programme in Betrieb haben. Die damit erzeugten Dokumente können aber gefährlich für die IT-Sicherheit sein und werden deshalb häufig von den Sicherheitsbarrieren der Computernetzwerke nicht mehr akzeptiert. Henning Weibezahl, IT-Sicherheitsbeauftragter des auf das ambulante Gesundheitswesen spezialisierten Versicherungsmaklers Ecclesia med GmbH, erklärt, was es damit auf sich hat.
Die fraglichen Dokumente sind an der Endung zu erkennen. Hinter dem Dateinamen steht ein .doc, ein .xls oder ein .ppt. Diese Endungen oder Suffixe kennzeichnen Dokumente, die mit Office-Software erzeugt worden sind, die vor 2007 aktuell war. Seitdem enden Dokumente auf .docx, .xlsx oder .pptx. „Seit 15 Jahren sind also diese alten Office-Versionen nicht mehr Standard“, fasst Henning Weibezahl zusammen.
Aber gleichwohl sind sie immer noch in Gebrauch. Ganz besonders bei komplexen Excel-Tabellensystemen, wie sie auch im niedergelassenen Bereich nicht selten sind, scheuen sich Anwender, eine Umstellung vorzunehmen: Möglicherweise werden dabei die Funktionen der Tabelle nicht komplett erhalten, und eine Wiederherstellung ist für den Nutzer schwierig. Nicht selten ist doch eine notwendige Tabelle für den Praxisalltag schon von versierter Hand vor langer Zeit angelegt worden. Das eigene Wissen über das Programm reicht aber nicht aus, um eine neue Tabellenkalkulation zu schaffen. Also wird weiter mit der seit langem veralteten Version gearbeitet.
Gefährliche Miniprogramme
IT-Sicherheitsspezialist Henning Weibezahl hat dafür durchaus Verständnis, aber die Sicherheitsbedenken überwiegen. Denn in diesen alten Dokumenten können gefährliche Miniprogramme versteckt sein. Er erklärt: „In die Dateien der alten Office-Programme können sogenannte Makros oder Skripte eingebettet sein. Das sind kleine Programme, die auf das Betriebssystem des Rechners zugreifen, auf dem eine solche Datei geöffnet wird. In diesen kleinen Programmen kann Schadsoftware enthalten sein, die zum Beispiel anderen Schadprogrammen den Zugang zu dem Computer und damit auf das Netzwerk dahinter ermöglicht.“
Davon muss der Verfasser der Datei gar nichts wissen. Er selbst ist auch nicht Ziel der Attacke, sondern transportiert den PC-Parasiten einfach unwissentlich. „Das Problem liegt beim Empfänger. Deshalb werden alte Office-Dokumente von den aktuellen Sicherheitsbarrieren und Firewalls der IT-Netzwerke abgewiesen“, ergänzt Henning Weibezahl. „Auch unser Netzwerk der Ecclesia med lässt Anhänge in den alten Office-Formaten nicht mehr passieren.“
In einer der jüngsten Cyber-Angriffswellen spielten diese alten Office Dateiformate eine große Rolle. Sie waren als Anhang in einer E-Mail enthalten und öffneten weiteren Schadprogrammen den Weg ins Netzwerk oder verbreiteten die in ihr gelagerten Schadprogramme gleich direkt auf den betroffenen Computern.
Die Quintessenz: Die wirklich schon sehr alten Versionen von Word, Powerpoint, Excel sollten ausgemustert werden. Wer weiterhin ungehinderten Datenverkehr nutzen will, muss die aktuelle Version nutzen. „Die alten Programme sind mittlerweile meilenweit von sicheren Anwendungen entfernt“, drückt es Henning Weibezahl aus. Denn der Hersteller Microsoft bietet schon seit Jahren dafür keine regelmäßigen Sicherheitsupdates mehr an. Weibezahl: „Aktuelle, geupdatete Software ist die beste Vorsorge vor PC- und Cyberschäden.“ Bei Unternehmen (auch eine Praxis fällt darunter) verlangt schon die Verpflichtung zu einem ordnungsgemäßen IT-Betrieb, die Software aktuell zu halten.
Sicherheitsupdates sind eine Versicherungsauflage
Diese Verpflichtung machen in der Regel auch Cyber-Versicherungen zur Auflage, denn der Versicherungsnehmer trägt die Verpflichtung zur Minderung des Risikos. Das bedeutet, dass der Versicherungsnehmer, je nach der genauen Definition dieser Obliegenheit in den Bedingungen, alles dafür tun muss, dass ein Schadenfall möglichst erst gar nicht eintritt. Frank Schultz, Experte für Cyberversicherungen in der Ecclesia med: „Zu allen Cyber-Versicherungen gibt es die Verpflichtung, dass der Versicherungsnehmer ein Patch-Management sicherzustellen hat. Dies bedeutet, dass eine zeitnahe Installation von Sicherupdates und -patches gewährleistet werden muss.“ Und genau hier liegt der Hase im Pfeffer – die alten Office-Produkte haben ihr Lebensende erreicht. Für die Programme werden somit keine Updates mehr zur Verfügung gestellt. Insofern kann der Versicherungsnehmer seiner Verpflichtung zum Patchmanagement gar nicht mehr nachkommen. Wenn es nachweislich durch die alten Programme zu einem Schadenfall komme, der auf eine nicht mehr geschlossene Sicherheitslücke zurückzuführen sei und damit im direkten Zusammenhang stehe (Kausalität), könne sich der Versicherer auf eine Obliegenheitsverletzung berufen, erklärt Frank Schultz.
In welcher Form das Konsequenzen für den Versicherungsnehmer hat, hängt von den vertraglichen Regelungen ab. Es ist nicht ausgeschlossen, dass bei einer derartigen Obliegenheitsverletzung der Versicherer von seiner Leistungspflicht frei ist und gegebenenfalls der Versicherungsnehmer auf dem gesamten Schaden sitzen bleibt.
Einfach doc. in docx. „umschalten“
In einer aktuellen Version der Office-Software lassen sich die alten Dokumente einfach öffnen und dann unter der neuen Version wieder abspeichern. Aktuelle Dateiformate lassen sich an den Endungen .docx, .pptx oder .xlsx erkennen. „Aber gerade bei umfangreichen, komplexen Excel-Tabellen ist es sicher von Vorteil, die Funktionen nach dem Neu-Abspeichern einmal zu prüfen“, rät IT-Experte Henning Weibezahl.
Quelle: Ecclesia med, ein Unternehmen der Ecclesia Gruppe. Beitragsbild: CC0 1.0 License
