Sichere Konfiguration von Microsoft Office: Was die neue BSI-Empfehlung für Ihr Unternehmen bringt

Microsoft Office gehört in den meisten Organisationen zur Standardausstattung – und gleichzeitig zu den beliebtesten Einfallstoren für Angriffe. Makros, ActiveX, Cloud-Funktionen und Telemetrie bieten viel Komfort, aber auch eine große Angriffsfläche.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der Empfehlung „Sichere Konfiguration von Microsoft Office“ (BSI-CS 135, Version 1.3 vom 28.03.2025) einen sehr konkreten Leitfaden veröffentlicht, der genau hier ansetzt.

Warum ist die sichere Konfiguration von Office so entscheidend?

Office-Anwendungen verarbeiten in der Praxis oft die kritischsten Informationen: Kundendaten, Finanzdaten, interne Strategiepapiere. Gleichzeitig laufen ständig Office-Dokumente aus externen Quellen ein – per E-Mail, Download oder über Kollaborationsplattformen.

Typische Angriffsszenarien sind dabei:

• Schadsoftware in Makros (VBA)
• Missbrauch von ActiveX-Elementen
• Drive-by-Angriffe über unsichere Inhalte im Browser-Kontext
• ungewollte Datenübermittlung an Microsoft durch Telemetrie

Für verantwortliche Stellen bedeutet das: Die Office-Konfiguration ist keine reine IT-Frage, sondern eine zentrale technische und organisatorische Maßnahme gemäß Art. 32 DSGVO.

Das BSI-Dokument zeigt, wie Sie Office so konfigurieren, dass Nutzende möglichst wenige riskante Sicherheitsentscheidungen treffen müssen – bei gleichzeitig nutzbarer Standardfunktionalität.

Was empfiehlt das BSI konkret für Microsoft Office 2021/2024?

Die Empfehlung richtet sich vor allem an mittelgroße und große Organisationen mit Active-Directory-Umgebung. Kernidee ist meist, dass sicherheitsrelevante Einstellungen konsequent per Gruppenrichtlinien (GPOs) gesetzt statt den Nutzenden überlassen werden.

Zu den Schwerpunkten gehören unter anderem:

• Updates absichern
  • Automatische Updates aktivieren
  • Einen eindeutigen Updatepfad definieren
  • Die Option deaktivieren, dass Nutzende Updates selbst an- oder abschalten
• Angriffsfläche verringern
  • VBA-Makros standardmäßig deaktivieren bzw. streng reglementieren
  • ActiveX-Installation und Dateidownloads einschränken
  • Web-Add-Ins und den Office-Store blockieren
  • nicht benötigte Features wie Internet-Fax oder bestimmte Online-Präsentationsdienste entfernen
• Datenschutz stärken
  • Telemetriedaten und Datenuploads an Microsoft abschalten
  • „Verbundene Erfahrungen“, die Inhalte analysieren oder Onlineinhalte nachladen, deaktivieren
  • OneDrive-Anmeldung und cloudbasierte Speicherorte in der Oberfläche ausblenden
• Gruppenrichtlinien sauber setzen
  • Alle sicherheitsrelevanten Richtlinien ausdrücklich auf „Aktiviert“ oder „Deaktiviert“ setzen
  • „Nicht konfiguriert“ nur in begründeten Ausnahmefällen nutzen, damit Updates die Bedeutung nicht „heimlich“ ändern

Das BSI macht aber auch klar, dass Sicherheit nicht durch das Setzen einzelner Schalter entsteht, sondern durch ein konsistentes Set an Richtlinien – technisch, organisatorisch und im Austausch mit Ihrem Datenschutzbeauftragten.

Wie steigen Sie pragmatisch in die BSI-Empfehlung ein?

Statt direkt alle Richtlinien „blind“ umzusetzen, lohnt sich ein strukturiertes Vorgehen:

1. Schutzbedarf definieren

Datenschutzbeauftragter und Fachbereiche setzen sich zusammen, um zu definieren, welche Daten in Office verarbeitet werden und welche Systeme besonders kritisch sind?

2. Makros und ActiveX regeln

Makros standardmäßig blockieren und nur signierte Makros aus vertrauenswürdigen Speicherorten zulassen. ActiveX-Elemente weitgehend deaktivieren.

3. Datentransfers an Microsoft minimieren

Die im Papier beschriebenen Telemetrie-, Diagnose- und „Verbundene Erfahrungen“-Einstellungen nutzen, um Datenflüsse an Microsoft auf das notwendige Minimum zu reduzieren – im Sinne der Datenminimierung nach DSGVO.

4. Dokumentation und Schulung

Die getroffenen Einstellungen verständlich dokumentieren und Administrierende sowie Nutzende informieren: Was hat sich geändert? Wie gehen sie mit Warnmeldungen und gesperrten Funktionen um?

Fazit: Blaupause für mehr Sicherheit – und weniger Datenschutzrisiko

Die BSI-Empfehlung zur sicheren Konfiguration von Microsoft Office ist mehr als eine lose Sammlung von Best Practices. Sie liefert eine konkrete, umsetzbare Blaupause für Gruppenrichtlinien in Office 2021 und 2024 – mit klarer Ausrichtung auf IT-Sicherheit und Datenschutz.

Prüfen Sie, ob Ihre Office-Installation schon „BSI-fit ist“. Bringen Sie die empfohlenen Einstellungen mit Ihren Fachbereichen und Ihrem individuellen Schutzbedarf in Einklang.

Dabei unterstützen wir Sie gerne: von der Analyse Ihrer aktuellen Konfiguration bis zur abgestimmten Umsetzung in Active Directory und BSI-Grundschutz.