Wenn Office 2003 die XML-Seuche einschleppt …

EnterpriseSicherheit

Virenscanner strecken die Waffen

Die heraufziehende Neuauflage von Microsofts Office-Suite könnte sich zum veritablen Sicherheitsproblem auswachsen. Denn in der aktuellsten Beta-Version von Office 2003 zeichnet sich ab, dass die Entwickler noch viel stärker auf Makros zurückgreifen als bisher bekannt.

Sicherheitsspezialisten wie Sophos weisen jetzt darauf hin, dass Dateien, die beispielsweise aus Word oder Excel in ein XML-Format (Extended Markup Language) abgespeichert sind, gefährlich werden könnten. Ihre Makros, also ausführbarer Code, kann so auf jedem beliebigen Rechner zum Laufen gebracht werden.

Die üblichen Virenscanner haben bei Makros bisher allerdings kaum einen Angriffspunkt. Sie können nämlich nicht auf Anhieb feststellen, ob in dem Dokument ein Makro sitzt, geschweige denn es lokalisieren.

Den Virenscannern müssten dafür weit mehr Rechenkapazitäten eingeräumt werden – und mehr Zeit, um eingehende Dateien zu überprüfen. Gerade Filter an den Mail-Gateways könnten dadurch noch anfälliger für Denial-of-Service-Attacken werden. Konfrontiert man sie mit einer großen Zahl von umfangreichen XML-Dokumenten, wäre ein durchgehender Scan der gesamten Datei schon bald nicht mehr möglich.

Leichter wäre es, wenn die Office-Applikationen selbständig Informationen über Makros und deren Ort in den Header, also die Kopfzeile, des Dokumentes schreiben würden. Genau das fordert neben anderen auch Sophos-Gründer Jan Hruska jetzt von Microsoft. Umgekehrt sollten die Office-Programme ausschließlich solche Makros zulassen und ausführen, die bereits im Header angekündigt werden – und so bereits leicht von der Search-Engine überprüft werden konnten.

Tatsache ist, dass die Verwendung von XML mit Einführung der Office-Suite sprunghaft ansteigen wird. Immerhin gibt es momentan weltweit rund 250 Millionen Anwender. Zu denen sollen nach den jüngsten Aussagen von Microsoft auch möglichst viele Kunden bei kleinen und mittelgroßen Unternehmen (KMU) hinzukommen. Office 2003 wird demnach auch in einer speziellen KMU-Version auf den Markt kommen. Vor allem einen neuen “Kontakt-Manager” als Bestandteil von Outlook möchten die Redmonder in diesem Marktsegment unterbringen.

Microsoft zeigt sich bisher wenig kooperationswillig. Schließlich sei XML insgesamt betroffen. “Das ist kein spezifisches Office-2003-Problem”, so ein Sprecher. “Das war schon immer so”, kontert Hruska. “Wenn Microsoft die Wahl zwischen neuen Funktionen und mehr Sicherheit hatte, haben sie sich immer für die Funktionen entschieden.”

silicon meint: Da haben die Damen und Herren in Redmond schon mal die Möglichkeit, einen Sicherheitsstandard zu setzen – und nutzen sie nicht. Wenn Makros in Office-Dokumenten tatsächlich nur dann ausführbar wären, wenn sie im Header vermerkt sind und einfach gescannt werden können, dann wären damit viele Möglichkeiten, korrupten Code unterzubringen, schon wieder zunichte gemacht. Kein Mensch erwartet vollständige Sicherheit, aber ein bisschen mehr, ohne viel Aufwand noch dazu, wäre schon nicht schlecht.