Digitale Signatur 22.06.2023, 07:00 Uhr

Wieder Sicherheitslücke in Microsoft-Office-Anwendung entdeckt

Ein deutsches Forschungsteam hat geschützte Word-Dokumente unter die Lupe genommen – und erneut eine eklatante Sicherheitslücke entlarvt. Für IT-Fachleute wäre es nach ihren Aussagen ein Kinderspiel, wichtige Dokumente zu manipulieren, ohne dass es jemand merkt.

Computer mit Totenkopf

Microsoft-Anwendungen sind vor Cyberangriffen nicht gut genug geschützt.

Foto: panthermedia.net/make

Das digitale Zeitalter ist Segen und Fluch zugleich. Mit wenigen Klicks lassen sich heutzutage Dokumente signieren und verschicken. Aber der Cyberangriff auf die Helmholtz-Gesellschaft hat aktuell wieder gezeigt, dass selbst gut geschützte Systeme zu knacken sind. Und das ist nur die Spitze des Eisbergs. Wenn die Nutzer und Nutzerinnen beispielsweise nur ein einziges Mal unachtsam sind und Schadsoftware öffnen, die sie getarnt in einer E-Mail erhalten haben, gewähren sie womöglich Hackern Zugriff auf ihren Computer, ohne es zu wissen.

Jede neue Möglichkeit im Netz geht daher mit Optionen für mehr Sicherheit einher. Allerdings greifen die bei Microsoft nicht immer. Das hat ein deutsches Forschungsteam gezeigt. Beteiligt waren Wissenschaftler und Wissenschaftlerinnen des Lehrstuhls für Netz- und Datensicherheit am Horst-Görtz-Institut für IT-Sicherheit an der Ruhr-Universität Bochum und der Hochschule Mainz.

Microsoft revolutioniert Office-Anwendungen – mit der Künstlichen Intelligenz

Microsoft-Dokumente sind nur teilweise signiert

„Das Ziel einer digitalen Signatur ist es, die Integrität eines Dokumentes zu bestätigen“, sagt Simon Rohlmann, der inzwischen an der Hochschule Mainz arbeitet. Das funktioniert nach einem einfachen Prinzip: Auf der Basis von Public-Key-Algorithmen erzeugt der Verwender mit einem privaten Schlüssel eine Signatur, die auf der Seite des Empfängers über einen öffentlichen Schlüssel geprüft werden kann. Beide Seiten sollten sich also eigentlich darauf verlassen können, dass der Inhalt des Dokuments nicht verändert wurde. Das ist allerdings ein Irrtum, wie die Forschenden in ihrer Forschungsarbeit „Every Signature is Broken: On the Insecurity of Microsoft Office’s OOXML Signatures“ offengelegt haben.

Top Stellenangebote

Zur Jobbörse
Beckhoff Automation GmbH & Co. KG-Firmenlogo
Technischer Redakteur (m/w/d) für Maschinenbau Beckhoff Automation GmbH & Co. KG
Herzebrock-Clarholz Zum Job 
Hamburger Hochbahn AG-Firmenlogo
Bauingenieur / Projektingenieur Ingenieurbau (w/m/d) Hamburger Hochbahn AG
Hamburg Zum Job 
Staatliches Gewerbeaufsichtsamt Braunschweig-Firmenlogo
Ingenieur/-in / Naturwissenschaftler/-in (m/w/d) für den Einsatz im Bereich Medizintechnik/-Produkte Staatliches Gewerbeaufsichtsamt Braunschweig
Braunschweig Zum Job 
Aerologic GmbH-Firmenlogo
Engineer Aircraft Reliability & Maintenance Program (m/f/x) Aerologic GmbH
Schkeuditz Zum Job 
Seppeler Holding & Verwaltungs GmbH & Co. KG-Firmenlogo
Verfahrenstechniker / Ingenieur Verfahrenstechnik (m/w/d) Seppeler Holding & Verwaltungs GmbH & Co. KG
Rietberg Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
Landesbetrieb Straßenbau und Verkehr Schleswig-Holstein-Firmenlogo
Bauingenieurin / Bauingenieur (w/m/d) für den Bereich Straßenbau Landesbetrieb Straßenbau und Verkehr Schleswig-Holstein
Kiel, Flensburg, Rendsburg, Itzehoe, Lübeck Zum Job 
ifp | Executive Search. Management Diagnostik.-Firmenlogo
Geschäftsführung (m/w/d) ifp | Executive Search. Management Diagnostik.
Ruhrgebiet Zum Job 
HYDRO Systems GmbH & Co. KG-Firmenlogo
Teamlead Shopfloor Service Station Norderstedt (m/w/d) HYDRO Systems GmbH & Co. KG
Norderstedt Zum Job 
GVG Immobilien Service GmbH-Firmenlogo
Projektassistenz (m/w/d) Baumanagement GVG Immobilien Service GmbH
München Zum Job 
Steuler Services GmbH & Co. KG-Firmenlogo
Projektmanager (m/w/d) Gebäudemanagement und Infrastruktur Steuler Services GmbH & Co. KG
Höhr-Grenzhausen Zum Job 
Birkenstock Productions Hessen GmbH-Firmenlogo
Ingenieur / Meister / Techniker Elektrotechnik / Automatisierungstechnik (m/w/d) Birkenstock Productions Hessen GmbH
Steinau an der Straße Zum Job 
Staatliches Baumanagement Region Nord-West-Firmenlogo
Architekten, Bau- und Elektroingenieure (m/w/d) Staatliches Baumanagement Region Nord-West
Wilhelmshaven Zum Job 
Staatliches Baumanagement Region Nord-West-Firmenlogo
Architekten / Bauingenieure (m/w/d) Hochbau Staatliches Baumanagement Region Nord-West
verschiedene Standorte Zum Job 
Staatliches Baumanagement Region Nord-West-Firmenlogo
Ingenieure (m/w/d) Versorgungstechnik bzw. Technische Gebäudeausrüstung Staatliches Baumanagement Region Nord-West
Wilhelmshaven, Bad Iburg, Oldenburg, Aurich, Meppen, Emden Zum Job 
Staatliches Baumanagement Region Nord-West-Firmenlogo
Ingenieure (m/w/d) der Fachrichtungen konstruktiver Ingenieurbau/Tiefbau/Geo-/Naturwissenschaften/Landschaftsbau Staatliches Baumanagement Region Nord-West
verschiedene Standorte Zum Job 
Staatliches Baumanagement Region Nord-West-Firmenlogo
Ingenieure (m/w/d) Elektrotechnik Staatliches Baumanagement Region Nord-West
verschiedene Standorte Zum Job 
WITTENSTEIN SE-Firmenlogo
Werkleitung (w/m/d) mit Leitwerksfunktion WITTENSTEIN SE
Igersheim-Harthausen Zum Job 
Sparda-Bank Südwest eG-Firmenlogo
Leitung Facility Management (m/w/d) Sparda-Bank Südwest eG
Mainz Zum Job 
Hamburger Hochbahn AG-Firmenlogo
Prüfingenieur Konstruktiver Ingenieurbau / Bauwesen (w/m/d) Hamburger Hochbahn AG
Hamburg Zum Job 

Denn es gibt eine Schwachstelle, die bei Microsoft Manipulationen ermöglicht: „Wir haben erkannt, dass Dokumente nur teilweise signiert sind. Dadurch könnte man beispielsweise neue Inhalte hinzufügen oder signierte Inhalte ausblenden, ohne, dass es jemand bemerkt“, sagt Rohlmann.

Fünf Schwachstellen für Cyberangriffe

Das Team hatte im ersten Schritt insgesamt fünf verschiedene Möglichkeiten gefunden, über die Cyberangriffe erfolgen können. Alle haben eine gemeinsame Grundlage, und zwar strukturelle Unstimmigkeiten im Office-System von Microsoft. Laut der Forschenden würden über den OOXML-Standards nur Teilbereiche des Dokumentenpakets signiert, was die komplette Signatur nicht nur wertlos mache, sondern Dokumentenfälschungen eigentlich sogar erleichtere. Rohlmann erklärt: „Ein Angreifer könnte beispielsweise signierte Dokumente verwenden, um Angriffe auf der Grundlage von Social Engineering besonders vertrauenswürdig erscheinen zu lassen, da das Dokument eine gültige Signatur eines Vorgesetzten enthält.“

SAP und Microsoft wollen mit KI gegen Fachkräftemangel vorgehen

Davon betroffen seien XML-basierte Dateiformate, die von Microsoft schon seit dem Jahr 2007 eingesetzt werden und in der Regel an dem Suffix -X im Dateinamen zu erkennen sind, also zum Beispiel .docx oder .xlsx. Sie nehmen wenig Speicherplatz in Anspruch und sollten eigentlich besonders sicher sein.



Microsoft hat Sicherheitslücken nicht vollständig beseitigt

Dass es bei Microsoft in puncto Sicherheit hakt, ist nicht neu. Schon im vergangenen Jahr setzen die Forschenden das Unternehmen darüber in Kenntnis und informierten parallel die zuständige Standardisierungsbehörde. Geschlossen hat Microsoft die Schwachstellen allerdings bislang noch nicht. Denn das Team hat auch die neue LTSC-Version von Microsoft Office 2021 (Version 2108 (Build 14332.20517)) untersucht – und wieder eine Sicherheitslücke entdeckt, die für Angriffe genutzt werden könnte. Zumindest seien in der Retail-Version von Microsoft Office 2021 (Version 2305 (Build 16501.20210)) die meisten der erkannten Schwachstellen nicht mehr vorhanden.

Die Forschenden überprüfen regelmäßig Signaturen, die im Berufsleben oder im behördlichen Kontext eine Rolle spielen. Auf diese Weise wollen sie zur IT-Sicherheit beitragen und die Wahrscheinlichkeit für unbemerkte Manipulationen senken.

Mehr lesen zum Thema Cybersicherheit:

  • Die Wirtschaft steht in Sachen Cybersicherheit unter Druck
  • Cybersicherheit: Diese Skills brauchen Sie im Security-Team

Ein Beitrag von:

  • Nicole Lücke

    Nicole Lücke macht Wissenschaftsjournalismus für Forschungszentren und Hochschulen, berichtet von medizinischen Fachkongressen und betreut Kundenmagazine für Energieversorger. Sie ist Gesellschafterin von Content Qualitäten. Ihre Themen: Energie, Technik, Nachhaltigkeit, Medizin/Medizintechnik.

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Geschichte des Internets
Vom militärischem Experiment zur globalen Revolution

Blick auf die Geschichte des Internets

Ähnliche Artikel

Agnes Heftberger, Vorsitzende der Geschäftsleitung von Microsoft Deutschland
Startschuss für Milliardenprojekt

KI braucht Strom: Microsoft startet Hyperscale-Projekt in NRW
Jahreszahl 2026 und im Hintergrund Blick auf einen Laptop-Monitor, auf dem ein Code zu sehen ist.
Freiwillige Wenn KI ins Operative geht

Das sind die IT-Trends 2026
Palantir
Überwachungssoftware

Palantir in Deutschland: Polizei schwärmt, Datenschützer warnen
Sicherheitslücke
Gefährliche E-Mails

Sicherheitslücke in Mozilla Thunderbird entdeckt

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos