IT-Sicherheitsrisiko Dokumente alter Office-Versionen

Office-Anwendungen wie Word, Excel oder PowerPoint sind die am weitesten verbreiteten Computerprogramme. Laut „Statista“ nutzen 85 Prozent der Unternehmen diese Standard-Software. Aber immer noch gibt es Anwender, die sehr alte Versionen dieser Programme in Betrieb haben. Die damit erzeugten Dokumente können gefährlich für die IT-Sicherheit sein und werden deshalb häufig nicht mehr akzeptiert. Henning Weibezahl, IT-Sicherheitsbeauftragter der Ecclesia Gruppe, erklärt, was es damit auf sich hat.

Die fraglichen Dokumente sind an der Endung zu erkennen. Hinter dem Dateinamen steht ein .doc, ein .xls oder ein .ppt. Diese Endungen oder Suffixe kennzeichnen Dokumente, die mit Office-Software erzeugt worden sind, die vor 2007 aktuell war. Seitdem enden Dokumente auf .docx, .xlsx oder .pptx. „Seit 15 Jahren sind also diese alten Office-Versionen nicht mehr Standard“, fasst Henning Weibezahl zusammen.

Aber gleichwohl sind sie immer noch in Gebrauch. Ganz besonders bei komplexen Excel-Tabellen-Systemen scheuen sich Anwender, eine Umstellung vorzunehmen, weil möglicherweise die Funktionen der Tabelle nicht komplett erhalten werden können und eine Wiederherstellung für die Nutzerin oder den Nutzer schwierig ist. Gerade an der Schnittstelle von Ehrenamt zu Hauptamt kommt so etwas vor: Eine engagierte ehrenamtlich tätige Person pflegt seit vielen Jahren eine bestimmte Aufstellung in einer Excel-Tabelle. Das Dokument ist aber von jemand anderem angelegt worden, und das eigene Wissen über das Programm reicht nicht aus, um eine neue Tabellenkalkulation zu schaffen. Also wird weiter mit der seit langem veralteten Version gearbeitet.


Gefährliche Miniprogramme

IT-Sicherheitsspezialist Henning Weibezahl hat dafür durchaus Verständnis, aber die Sicherheitsbedenken überwiegen. Denn in diesen alten Dokumenten können gefährliche Miniprogramme versteckt sein. Er erklärt: „In die Dateien der alten Office-Programme können sogenannte Makros oder Skripte eingebettet sein. Das sind kleine Programme, die auf das Betriebssystem des Rechners zugreifen, auf dem eine solche Datei geöffnet wird. In diesen kleinen Programmen kann Schadsoftware enthalten sein, die zum Beispiel anderen Schadprogrammen den Zugang zu dem Computer und damit auf das Netzwerk dahinter ermöglicht.“

Davon muss der Verfasser der Datei gar nichts wissen. Er selbst ist auch nicht Ziel der Attacke, sondern transportiert den PC-Parasiten einfach unwissentlich. „Das Problem liegt beim Empfänger. Deshalb werden alte Office-Dokumente von den aktuellen Sicherheitsbarrieren und Firewalls der IT-Netzwerke abgewiesen“, ergänzt Henning Weibezahl. „Auch unser Netzwerk in der Ecclesia Gruppe lässt Anhänge in den alten Office-Formaten nicht mehr passieren.“

In einer der jüngsten Cyber-Angriffswellen spielten diese alten Office-Dateiformate eine große Rolle. Sie waren als Anhang enthalten und öffneten weiteren Schadprogrammen den Weg ins Netzwerk oder verbreiteten die in ihr gelagerten Schadprogramme gleich direkt auf den betroffenen Computern.

Die Quintessenz: Die wirklich schon sehr alten Versionen von Word, PowerPoint, Excel sollten ausgemustert werden. Wer weiterhin ungehinderten Datenverkehr nutzen will, muss auf die neue Version aufrüsten. „Die alten Programme sind mittlerweile meilenweit von sicheren Anwendungen entfernt“, drückt es Henning Weibezahl aus. Denn der Hersteller Microsoft bietet schon seit Jahren dafür keine regelmäßigen Sicherheitsupdates mehr an. „Aktuelle, geupdatete Software ist die beste Vorsorge vor PC- und Cyberschäden.“ Bei Unternehmen verlangt schon die Verpflichtung zu einem ordnungsgemäßen IT-Betrieb, die Software aktuell zu halten.

 
Sicherheitsupdates sind eine Versicherungsauflage

Diese Verpflichtung machen in der Regel auch Cyberversicherungen zur Auflage, denn der Versicherungsnehmer trägt die Verpflichtung zur Minderung des Risikos. Das bedeutet, dass der Versicherungsnehmer, je nach der genauen Definition dieser Obliegenheit in den Bedingungen, alles dafür tun muss, das ein Schadenfall möglichst erst gar nicht eintritt. Frank Schultz, Experte für Cyberversicherungen in unserer Unternehmensgruppe: „Zu allen Cyberversicherungen gibt es die Verpflichtung, dass der Versicherungsnehmer ein Patch-Management sicherzustellen hat. Dies bedeutet, dass eine zeitnahe Installation von Sicherheitsupdates und -patches gewährleistet werden muss. Und genau hier liegt der Hase im Pfeffer – die alten Office-Produkte haben ihr Lebensende erreicht. Für die Programme werden somit gar keine Updates mehr zur Verfügung gestellt. Insofern kann der Versicherungsnehmer seiner Verpflichtung zum Patchmanagement gar nicht mehr nachkommen.“ Wenn es nachweislich durch die alten Programme zu einem Schadenfall komme, der auf eine nicht mehr geschlossene Sicherheitslücke zurückzuführen sei und damit im direkten Zusammenhang stehe (Kausalität), könne sich der Versicherer auf eine Obliegenheitsverletzung berufen.

In welcher Form diese Obliegenheitsverletzung Konsequenzen für den Versicherungsnehmer hat, hängt von den vertraglichen Regelungen ab. Es ist nicht ausgeschlossen, dass bei einer derartigen Obliegenheitsverletzung der Versicherer von seiner Leistungspflicht frei ist und gegebenenfalls der Versicherungsnehmer auf dem gesamten Schaden sitzen bleibt.

 
Einfach „umschalten“

In einer aktuellen Version der Office-Software lassen sich die alten Dokumente einfach öffnen und dann unter der neuen Version wieder abspeichern. Aktuelle Dateiformate lassen sich an den Endungen .docx, .pptx oder .xlsx erkennen. „Aber gerade bei umfangreichen, komplexen Excel-Tabellen ist es sicher von Vorteil, die Funktionen nach dem Neu-Abspeichern einmal zu prüfen“, rät Henning Weibezahl.