Microsoft Office 2013 geknackt: Passwort-Recovery für Office

Keine in Office 2013 erstellte Datei ist immun gegen Hacker-Angriffe. Festplatten-Verschlüsselung und Netzwerk- und Datei-Freigaben bieten Schutz.

Wahrscheinlich haben Sie schon einmal den Spruch gehört, IT-Sicherheit sei ein ständiges Wettrüsten – und Hacker scheinen den Administratoren in Unternehmen dabei immer einen Schritt voraus zu sein. Aber nicht nur die bösen Jungs sind an diesem Spiel beteiligt: Es gibt auch vollkommen seriöse Forscher und Anbieter, die sich für Sicherheitslücken interessieren.

So wurde der Passwort-Schutz für Microsoft Office 2013 von den langjährigen Passwort-Profis bei Elcomsoft gebrochen – noch vor der vollen Auslieferung des Produkts. Wenn Sie für die Sicherheit von Windows-Desktops und damit zusammenhängender Systeme in Ihrem Unternehmen verantwortlich sind, sollten Sie das wissen.

Aber wo ist das Problem, könnten Sie fragen. Microsoft Office 2013 enthält ein überarbeitetes Passwort-System mit stärkeren Hashes und Kryptografie-Schlüsseln. Elcomsoft hat jedoch Schwächen in der Implementierung entdeckt, die ein „Knacken“ des Passwort-Schutz mit seinen Werkzeugen Advanced Office Password Recovery und Elcomsoft Distributed Password Recovery möglich machen – bei schreibgeschützten Dateien dauert das nur einen Augenblick, bei vor dem Öffnen geschützten geht es mit Brute Force recht schnell.

Keine in Office 2013 erstellte Datei ist immun gegen diese Angriffe, so dass Passwörter von Geschäftsanwendungen wie Access, Excel, PowerPoint, Project und Word gleichermaßen gefährdet sind. Abbildung 1 zeigt einen Screenshot von Advanced Office Password Recovery.

Abbildung 1: Knacken eines Passwort-geschützen Word-Dokuments aus Office 2013 mit Advanced Office Password Recovery von Elcomsoft

Mit anderen Worten: Wenn jemand aus der Unternehmensführung, dem Marketing oder der Rechtsabteilung behauptet, er trage mit der Vergabe von Passwörtern für Office-2013-Dateien zum Schutz sensibler Informationen bei, ist das nichts als Show. Allerdings hat wohl nicht jeder, der auf eine Passwort-geschützte Datei aus Office 2013 stößt, sofort die Möglichkeiten zum Knacken zur Hand.

Trotzdem ist es wie bei einem Laptop mit unverschlüsselter Festplatte, der gestohlen oder verloren wird: Man weiß nie wirklich, ob die Daten sicher sind. In vielen Fällen sind Organisationen rechtlich für solche Verluste verantwortlich, wenn sie nicht nachweisen können, dass sie für einen angemessenen Schutz sensibler Daten gesorgt haben.

Immerhin gibt es auch einen Vorteil der Passwort-Lücken in Microsoft Office. Wir kennen das ja alle: Jemand schickt uns ein Word-Dokument oder eine Excel-Tabelle, die wir öffnen und bearbeiten sollen, aber oft kommt uns dabei ein lästiges (und häufig aus Versehen gesetztes) Passwort in die Quere. Der Absender ist dann gerade nicht erreichbar oder hat das Passwort vergessen, und wir wollen weiterkommen. Genau das sind perfekte Szenarien für den Einsatz von Werkzeugen zum Passwort-Knacken wie dem von Elcomsoft.

Für solche Werkzeuge gibt es noch einen zweiten legitimen Einsatzzweck: Sicherheitstests. Wenn sensible Office-Dateien zu knacken sind, ist das gewiss ein gutes Argument für mehr Sicherheit auf den Desktops. Der unverschlüsselte Laptop eines Personal-Managers, der sensible Word-Dokumente mit Passwort-“Schutz“ enthält, zum Beispiel schafft eine hervorragende Gelegenheit, zu zeigen, dass geschäftliche Informationen gefährdet sind. Für ein Datenverlust-Szenario braucht es also nichts als einen unverschlüsselten Laptop oder Zugang zu einem physisch ungeschützten PC.

Microsoft scheint mit Office 2013 durchaus gute Fortschritte in Bezug auf Sicherheit gemacht zu haben. Die Möglichkeiten zur Schlüssel-Hinterlegung für Datei-Passwörter und zu digitalen Signaturen zum Beispiel sehen aus wie robuste Lösungen für den Unternehmenseinsatz. Trotzdem fürchte ich, dass Dokumente weiterhin mit schwachen Passwörtern geschützt und auf unsicheren Workstations abgelegt werden. Also wird auch der Zyklus von Hacks und Einbrüchen weitergehen.

Angesichts all der Komplexität in jedem Netzwerk von Unternehmen glaube ich auch immer noch: Wenn Sie sensible Dateien wirklich schützen wollen, sollten Sie auf einer höheren Ebene beginnen. „Schützen Sie die Daten“, werden Ihnen die Anbieter solcher Lösungen erzählen, doch das sagt sich leicht.

Alles, was Sie heute brauchen, sind vielleicht zwei grundlegende Maßnahmen: Vollständige Festplatten-Verschlüsselung auf Workstations und angemessene Netzwerk- und Datei-Freigaben.

Ebenfalls helfen kann es, Nutzer über den richtigen Umgang mit sensiblen Dateien aufzuklären, aber ausreichend ist das nicht, und zudem leichter gesagt als getan. Wenn wir Unternehmen, die Windows-Systeme nutzen, jemals wirklich sicher machen wollen, ist eines auf jeden Fall unerlässlich: Wir müssen irgendwie über die Mentalität „Vergeben wir ein Passwort dafür, und alles ist in Ordnung“ hinauskommen.

Artikel wurde zuletzt im Januar 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close