Umsetzung BSI-Schutz auf zentral administrierten Rechnern (Windows)


Warum BSI-Schutz?

Die Prozesse in Forschung und Lehre sowie der Verwaltung sind immer stärker vom sicheren Funktionieren der Informations- und Kommunikationstechnik abhängig. Gleichzeitig steigt die Zahl potentieller Bedrohungen sprunghaft an. Dieser Entwicklung trägt die Universität Rechnung, indem Sie die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umsetzt. Das BSI ist die Cyber-Sicherheitsbehörde des Bundes.

»Der IT-Grundschutz des BSI ist eine bewährte Methodik, um das Niveau der Informationssicherheit in Behörden und Unternehmen jeder Größenordnung zu erhöhen. Die Angebote des IT-Grundschutzes gelten in Verwaltung und Wirtschaft als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht. Dabei ist der IT-Grundschutz durch seine Kompatibilität zu ISO 27001 auch international angesehen.«

Die Empfehlungen des BSI dienen dem Schutz vor Schaden und sind verbindlich für alle Vorgänge, bei denen Daten mit hohem oder sehr hohem Schutzbedarf bearbeitet werden. Daraus ergeben sich auch Änderungen und Einschränkungen an gewohnten Programmen und Abläufen, die wir Ihnen hier erläutern möchten.

Für detailliertere Informationen, wenden Sie sich bitte per E-Mail an unseren Nutzerservice: nutzerservice[at]uni-weimar.de


Hauptfeatures, die umgesetzt wurden

  • In BSI-konformen, administrierten Rechnern ist ein sogenannter TPM-Chip verbaut. Ein Trusted Platform Module (TPM) ist ein Mikrochip auf Computern oder in elektronischen Geräten. Er stellt grundlegende Sicherheitsfunktionen hardwarebasiert zur Verfügung und kann Kryptographieschlüssel erzeugen, sicher speichern oder deren Einsatz kontrollieren.
  • BitLocker-Verschlüsselung: BitLocker ist eine Festplattenverschlüsselung, die auf den einzelnen Rechnern der Universität zum Einsatz kommt. BitLocker startet vor dem Betriebssystem und greift standardmäßig auf den TPM-Chip zu.
  • Add-In-Schutz für Microsoft Office Programme: nur definierte Add-Ins können in den Office-Produkten verwendet werden. Add-Ins sind vorgefertigte Funktionen oder Makros, die in Programme eingebunden und vollständig in das Hauptprogramm integriert werden können.
  • Verschlüsselungsvorgaben für Microsoft Office Programme wurden nach den Vorgaben vom BSI umgesetzt.
  • Nachrichtenformat in Outlook festgelegt: E-Mails werden standardmäßig in Nur-Text gesendet und empfangen.

Änderungen an Microsoft Office Programmen

Allgemein

Vorgenommene Einstellungen allgemeiner Art, sind in den Office-Programmen jeweils über »Optionen – Add-ins« oder auch »Optionen – Trustcenter« einsehbar.

ActiveX Steuerelemente deaktiviert

Die Nutzung von ActiveX-Steuerelementen ist nicht mehr möglich. Ein ActiveX-Steuerelement ist ein Programmobjekt, das von vielen Computer-Anwendungen oder zwischen Computern in einem Netzwerk wiederverwendet werden kann. Oftmals kommt es in Formularen in Word oder Excel zum Einsatz, wenn Schaltflächen, Checkboxen, Radio-Buttons usw. verwendet werden sollen. Auf BSI-konformen Rechnern sind nur noch Standardsteuerelemente, keine eigenentwickelte, in den Dokumenten zugelassen. Die Standardsteuerelemente besitzen dieselben Funktionalitäten wie ActiveX-Steuerelemente, lassen sich optisch aber nicht so umfangreich anpassen. Dafür können diese mit Mac-OS verwendet werden, so dass der Austausch von Dokumenten zwischen Windows und Mac-OS verbessert wird.


Warum wurde die Nutzung von ActiveX Steuerelementen eingeschränkt?
ActiveX wird nicht isoliert ausgeführt, sondern läuft ungesichert auf dem Computer. Beispielsweise könnte man durch den Besuch einer entsprechend präparierten Webseite sensible Daten von Ihrer Festplatte lesen.

Die Entwicklertools werden in Excel, Word und Outlook nicht angezeigt

Das Menü Band in den Office-Programmen darf nicht angepasst werden, aber man kann die Entwicklertools über Einträge in den Registrierungsdaten aktivieren. Bitte wenden Sie sich dazu an unsere Hotline.

Unsignierte Makros können in Microsoft Office Programmen nicht ausgeführt werden

Ein Makro ist ein kleines Stück Programmcode, dass es ermöglicht, wiederkehrende Prozesse oder bestimmte Funktionen automatisiert durchzuführen. Oftmals kommen Makros in Word- oder Excel-Dokumenten zum Einsatz. Die Einstellungen gemäß der BSI-Anforderungen verhindern, dass Makros, die nicht signiert sind, ausgeführt werden dürfen. Makros (auch VBA: Visual Basic for Applications) die digital signiert wurden, können ausgeführt werden.

Sie haben zwei Möglichkeiten zur Signierung von Makros:

  • Sie signieren das Office-Makro selbst
  • Office-Dokumente werden zentral vom SCC signiert
    Dafür wenden Sie sich bitte per E-Mail an den Nutzerservice des SCC:
    nutzerservice[at]uni-weimar.de

Sie signieren das Office-Makro selbst: Zertifizieren von Office-Makros
Es muss ein Zertifikat vorhanden sein, mit dem Programme signiert werden können.

  1. Öffnen Sie die Makro-Datei in Office
  2. Anschließend den Visual Basic Editor mit »ALT+F11« öffnen
  3. Wählen Sie dann »Extras« à »Digitale Signaturen« aus
  4. Unter »Signiert als« auf »wählen« klicken
  5. Nun das Zertifikat auswählen.
    Wird das entsprechende Zertifikat nicht angezeigt, wählen Sie dieses über »Weitere Optionen« aus und schließen mit »OK« ab.
  6. Speichern und schließen Sie das Office-Dokument. Danach können die Makros im Dokument ausgeführt werden.

Schnellstartmenüleiste und Ribbon-Oberfläche können in Office-Programmen nicht angepasst werden

Die Funktion »Symbolleiste für den Schnellzugriff anpassen« ist deaktiviert und daher ausgegraut.

Alternativ können Sie Tastaturkürzel für wiederkehrende Funktionen nutzen.
Hier ein paar Beispiele:

Aktion Tastaturkürzel
neues leeres Dokument [STRG]+N
Dokument öffnen [STRG]+O
Dokument speichern [STRG]+S
Seitenansicht und Drucken

 

[STRG]+P
Rechtschreibkontrolle [F7]
Makros anzeigen [ALT]+[F8]

Formulare erstellen in Word

Um selbst Formulare erstellen zu können, müssen Sie für die speziellen Berechtigungen in eine entsprechende Systemverwaltergruppe aufgenommen werden. Erst dann ist es möglich, Formulare mit Word zu erstellen.

Dafür wenden Sie sich bitte per E-Mail an den Nutzerservice des SCC:
nutzerservice[at]uni-weimar.de

Änderungen an Microsoft Office Programmen im Detail

Word

Warnung beim Speichern von Word-Dokumenten mit Kommentaren

Wenn Sie ein Dokument mit Kommentaren speichern möchten, erscheint die diese Warnung:

Das gespeicherte Dokument enthält Kommentare und Überarbeitungen. Speichern fortsetzen?

Die Warnung dient als Hinweis, dass u. U. nicht gewollte Kommentare gelöscht werden sollten, bevor Sie das Dokument veröffentlichen, drucken, speichern oder senden.
Mit Klick auf »OK« wird das Dokument gespeichert und die Kommentare bleiben erhalten.

Excel

Unruhiges Excel-Fenster beim Verschieben mit der Maus

Wird ein Excel-Fenster vom Vollbildmodus in den individuellen Bildmodus versetzt und nachfolgend per Maus verschoben, z.B. von einem Bildschirm zu einem anderen bei einem Mehr-Monitor-Arbeitsplatz, dann ist das Verschieben des Fensters sehr unruhig. Wir konnten feststellen, dass dies am Exploit-Schutz für Excel liegt. (Ein Exploit stellt eine systematische Möglichkeit dar, aufgrund von Schwachstellen oder Sicherheitslücken der Software in Computersysteme einzudringen.) Ein Arbeiten und auch das Verschieben sind möglich, wird aber ein wenig erschwert

Makros in Excel

Erläuterung siehe »Unsignierte Makros können in Microsoft Office Programmen nicht ausgeführt werden«
Senden Sie bitte an unsere Hotline die betreffende Excel-Datei zu. Diese wird dann von uns signiert und die Makros sind ab dem Zeitpunkt wieder nutzbar.

Access

Tabellenverknüpfungsmanager zeigt keine Tabellen an

Wenn Sie Access-Datenbanken miteinander verknüpfen möchten / Referenzierungen auf eine andere Access-Datenbank anlegen möchten, können Sie den Tabellenverknüpfungsmanager verwenden. Der Verknüpfungsmanager funktioniert allerdings nur, wenn in Office ActiveX-Steuerelemente ausgeführt werden können.

Wir stellen Ihnen auf Anfrage eine Anwendung bereit, mit der der ActiveX zeitweise frei geschaltet werden kann. Bitte beachten Sie, dass die Anwendung dann nicht nur Ihnen, sondern jedem eingeloggten Benutzer auf dem jeweiligen Rechner zur Verfügung steht.
Bitte wenden Sie sich dazu an unseren Nutzerservice (E-Mail: nutzerservice[at]uni-weimar.de; Telefon: +49 (0) 3643 / 58 24 24).

Daten Import/Export in/aus Access-Datenbanken funktioniert nicht

Für den Import in oder den Export aus Access-Datenbanken müssen ActiveX-Steuerelemente kurzzeitig zugelassen werden. Das Vorgehen ist identisch wie bei »Tabellenverknüpfungsmanager zeigt keine Tabellen an«.

Bearbeitung von Access-Datenbanken nur auf Projektlaufwerken

Damit Access-Datenbanken problemlos funktionieren, sollten sie auf einem Projektlaufwerk abgespeichert werden. (Vertrauenswürdiger Speicherort)

Möchten Sie eine Access-Datenbank bei einer Präsentation zeigen/verwenden und Sie haben keinen Zugriff auf die Projektlaufwerke, sichern Sie diese Datenbank lokal auf Ihrem Laptop.

Hinweis: Eine Verbindung zum Projektlaufwerk per WebDrive herzustellen ist keine optimale Lösung, da bei dieser Verbindung nicht der vollständige Namensraum (Netzwerkpfad) des Projektlaufwerks verwendet wird, sondern ein lokaler Laufwerkbuchstabe. Damit ist die Freigabe für die Datenbank nicht wirksam.

E-Mails und Outlook

Empfangen und Senden von Mail in Format Nur-Text

Viele E-Mails werden heute im HTML-Format (farbig, verschiedene Schriftarten, eingebettete Grafiken) verschickt. Im Quellcode einer HTML-formatierten E-Mail kann schädlicher Code versteckt sein, der bereits beim Öffnen der E-Mail auf dem Computer des Empfängers ausgeführt wird, ohne dass dafür ein Anhang angeklickt werden muss. Daher hat das SCC die Empfehlung des BSI umgesetzt und Outlook so konfiguriert, dass E-Mails standardmäßig im Nur-Text-Format gesendet und empfangen werden.
Für einzelne E-Mails können Sie diese Standardeinstellungen wie folgt ändern.

Empfangene Mails in HTML anzeigen

Eingegangene E-Mails erhalten den folgenden Hinweis. (sowohl in der Vorschau, als auch bei Anzeige im separaten Fenster):

Klicken Sie auf diesen Hinweis, können Sie in die HTML-Ansicht wechseln:

Senden von Mails in HTML

Möchten Sie eine HTML-E-Mail versenden, können Sie die Tastenkombination »[ALT]-x-ö« (innerhalb der E-Mail in Outlook) verwenden, um die Formatierung von Plain-Text in HTML umzustellen.

Hinweis: Ob Ihre Nachricht im HTML_ oder Nur-Text-Format angezeigt wird, hängt von den individuellen Einstellungen im Mailprogramm der empfangenden Person ab.

Alternativ nutzen Sie das Menü auf der Registerkarte »Text formatieren« innerhalb der E-Mail:

Links in empfangenen Mails werden nicht anklickbar als URL-Link angezeigt

Mit der Umstellung der Anzeige der E-Mails auf Nur-Text-Format sind auch Verlinkungen auf E-Mail- und Internetadressen (URLs) nicht mehr anklickbar. Um einen Link aufzurufen, müssen Sie diesen kopieren und in die Adresszeile Ihres Browsers einfügen. Alternativ stellen Sie die Ansicht wie oben beschrieben auf HTML um.

Ausnahme: In selbst verfassten Mails ist eine URL in gewohnter Art verlinkt, also blau unterlegt und anklickbar.

Veröffentlichen von Kalender im Internet nicht möglich

Ein Kalender können Sie nur innerhalb der eigenen Exchange-Struktur, also mit Mitgliedern der Bauhaus-Universität Weimar, veröffentlichen. Die Veröffentlichung auf anderen Plattformen, wie einem WebDAV-Server etc., ist inaktiv.

Sowohl über Outlook als auch über den OWA können Sie Ihren Kalender weiterhin freigeben oder auch versenden.

Mails mit abgelaufenen Zertifikaten werden in Outlook nicht mehr dargestellt

Mit einer digitalen Signatur können Sie Dokumente digital unterzeichnen. Eine digitale Signatur ist ein Instrument der Authentifizierung und bestätigt, dass Nachrichten von einer bekannten Quelle sowie während der Übertragung nicht geändert wurden. Wenn eine digitale Signatur ordnungsgemäß implementiert ist, kann der Empfänger davon ausgehen, dass die Nachricht vom angegebenen Absender gesendet wurde.

Erhalten Sie ein E-Mail mit einer ungültigen Signatur, wird diese Nachricht zunächst nicht angezeigt, sondern Sie sehen ein leeres Vorschaufenster mit der folgenden Warnung:

Möchten Sie die E-Mail trotzdem lesen, klicken Sie doppelt auf die entsprechende Nachricht (in der Liste) und es wird eine weitere Meldung angezeigt:

Klicken Sie auf »Nachricht anzeigen« wird die Mail zum Lesen geöffnet.

Sperre von Mailanhängen mit potentiell gefährlichen Inhalten

Potentiell gefährliche Anhänge von externen Absendern werden nicht mehr per E-Mail zugestellt. Sie als Empfängerin oder Empfänger erhalten die urspüngliche E-Mail, allerdings löscht das System die »verdächtigen« Anhänge automatisch und hängt eine txt-Datei an, die Sie über den Grund der Löschung informiert.

Zu den potentiell gefährlichen Anhängen zählen altere Microsoft-Office-Formate (MS-Office 2003 oder älter). Bei diesen Dateitypen ist nicht direkt erkennbar, ob sie eventuell schädliche Makros enthalten. Nähere Informationen und eine Liste der gesperrten Dateiformate finden Sie auf den Seiten des SCC unter »Sperrung von E-Mail-Anhängen«.

Sollten Sie in Ausnahmefällen derartige Dateien mit bekannten, vertrauenswürdigen Partnern austauschen müssen, empfehlen wir die Nutzung der Universitäts-Cloud unter cloud.uni-weimar.de

 

Änderungen in Adobe-Acrobat-Produkten

PDF Dokumente werden im geschützten Modus geöffnet

PDF Dokumente werden im geschützten Modus geöffnet

In Ihrem Programm zum Öffnen von PDF-Dokumenten, dem Adobe Acrobat Reader, werden Dateien zunächst im »geschützten Modus« geöffnet. Sie sehen die folgende Meldung:

Durch Klick auf »Alle Funktionen aktivieren« wird der geschützte Modus für das aktuell geöffnete Dokument deaktiviert. Das Deaktivieren ist für das bloße Lesen der Dateien nicht notwendig. Diese Einstellung soll Sie sensibilisieren, nicht sorglos PDF-Dokumente aus unbekannten Quellen zu vertrauen und diese unreflektiert zu öffnen. Wenn Sie sich sicher sind, dass die PDF-Datei aus einer vertrauenswürdigen Quelle stammt, können Sie den geschützten Modus jederzeit deaktivieren.

Adobe Acrobat DC: Wenn Sie PDFs bearbeiten müssen

Adobe Acrobat DC: Wenn Sie PDFs bearbeiten müssen

Derzeit wird der »Acrobat Reader DC« auf allen Windows-Geräten bereitgestellt und ist als Standardprogramm zum Öffnen von PDF-Dateien voreingestellt.

Wenn Sie PDF-Dokumente bearbeiten möchten, müssen Sie die Datei aktiv mit »Adobe Acrobat DC« öffnen (nicht über Doppelklick, das ruft den Acrobat Reader auf). Dafür folgen Sie bitte den Schritten, die auf der folgenden Seite beschrieben sind:
»Adobe Named User Lizenzen (NUL) für Mitarbeitende«

Diese Software muss unter Umständen auf Ihrem Gerät installiert werden.