Categories: SoftwareUnternehmen

Passwort für Microsoft Word-Dokumente ist einfach zu hacken

“Wenn Sie für Ihr Word-Dokument die Option ‘Passwortschutz für Änderungen’ wählen, könnte ein User mit unlauteren Absichten immer noch in der Lage sein, Zugang zu Ihrem Passwort zu erlangen.” Dieser Satz ist seit kurzem in der Knowledge Base von Microsoft zu lesen und hat eine ereignisreiche Vorgeschichte.
Bereits Ende des vergangenen Jahres hatte Thorsten Delbrouck Microsoft über den Fehlerhaften Passwortschutz für Word-Dokumente informiert. Delbrouck ist CIO des  deutschen Sicherheitsunternehmens Guardeonic Solutions, das aus dem ehemaligen Siemens-Geschäftsbereich für Informationssicherheit hervorgegangen war und jetzt ein Tochterunternehmen von Infineon Technologies ist.

Damals hatte sich Microsoft schlicht geweigert, den Fehler als Problem anzuerkennen und schrieb in seiner Knowledge Base, dass der Passwortschutz nicht einem echten Hack standhalten müsse, sondern es sei “in erster Linie eine Funktion, die versehentliche Veränderungen unterbinden soll”.

Delbrouck äußerte gegenüber silicon.de, dass er Verständnis dafür habe, dass Redmond das Problem herunterspiele: “Microsoft hat keine Möglichkeit, anders zu reagieren.” Allerdings glaubt der Sicherheitsexperte nicht, dass es in naher Zukunft von Microsoft so etwas einen Patch geben wird: “Ich wüsste nicht, wie sie das tun sollen, schließlich muss ja auch die Kompatibilität der einzelnen Versionen erhalten bleiben.”

Diese Sicherheitslücke gibt es einstweilen nicht bei der Option ‘Passwort zum Öffnen des Dokuments’. Und so schlägt der Support von Microsoft vor, dass zur Sicherung von Dokumenten eben dieser Schutz angewendet werden soll. Dieser Rat ist jedoch nur bedingt hilfreich. Denn es sei weit verbreitete Praxis, so Delbrouck, dass Unternehmen beispielsweise häufig Angebote mit diesem Modifizierungsschutz an ihre Kunden versenden, die diese öffnen müssen, da sie sie ausfüllen, unterschreiben und zurückschicken müssen.

Ferner weist der CIO darauf hin, dass das Öffnen des Word-Dokumentes mit einem Hexadezimal-Editor die Prüfsumme des Passwortes lösche. (Dieses Verfahren ist geeignet für die forensische Untersuchung von IT-Systemen, erlaubt das Bearbeiten einer beliebigen Datei und zeigt diese binär und in ASCII-Ansicht.) Somit sei der Schutz ausgeschaltet. “Das ist kein spektakulärer Fehler”, fügt Delbrouck an, doch dadurch sei es sehr einfach, zum Beispiel die Angebotszahlen zu verändern und das Dokument unterschrieben zurückzusenden.

Dabei habe der Fälscher, sollte es zu einem Verfahren kommen, vor Gericht die besseren Karten, da es “sehr schwer, beziehungsweise unmöglich nachzuweisen ist, dass der Passwortschutz außer Kraft gesetzt wurde”. Denn der Schutz sei nach wie vor aktiv und auch das Passwort erscheine als nicht geändert.

Daher sei es vor allem ein rechtliches Problem und der Experte rät, zu Alternativen zu greifen: “Im EU-Rechtsraum bieten sich digitale Signaturen an. Aber auch andere Dateiformate sind denkbar. So sind beispielsweise PDF-Dokumente besser geeignet.”

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

3 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

3 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

5 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

6 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

7 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

7 Tagen ago