Sicherheit in LibreOffice
zur Textverarbeitung, Tabellenkalkulation und Erstellung von Präsentationen umfassen. Wegen ihrer großen Verbreitung und Angriffsfläche werden sie häufig als Angriffsweg für Cyberattacken genutzt. So werden beispielsweise bekannte Schwachstellen ausgenutzt, wenn die Programme noch nicht aktualisiert sind, oder es wird Schadsoftware mittels eingebetteter Makros ausgeführt.
Eine weit verbreitete Büroanwendung ist LibreOffice. Das BSI hat hierfür im August 2022 eine Cyber-Sicherheits-Empfehlung mit Maßnahmen für den sicheren Einsatz von LibreOffice in verwalteten und nicht-verwalteten Umgebungen vorgestellt:
Sichere Konfiguration von LibreOffice: Empfehlungen für Unternehmen mit einer verwalteten Umgebung
Sichere Konfiguration von LibreOffice – Empfehlungen für kleinere Unternehmen, Privatanwender und Privatanwenderinnen
Daran anknüpfend wurden sicherheitsrelevante Verbesserungsmöglichkeiten identifiziert, die zugleich die Ziele für die Umsetzung im Rahmen eines Projektes darstellten:
Konfigurationsanpassungen zur Erhöhung der Sicherheit, indem u.a. unsichere Netzwerkprotokolle wie unverschlüsseltes HTTP, SMTP und FTP deaktiviert oder Funktionen mit aktiven Inhalten wie DDE-Befehle (Dynamic Data Exchange), Makros, LibreLogo-Skripte und OLE-Objekte (Object Linking and Embedding) schnell vollständig deaktiviert werden können.
Die durchgängige Umsetzung der Möglichkeit der vollautomatischen Installation von Updates (unter dem Betriebssystem Windows) als Grundpfeiler der IT-Sicherheit.
Einführung eines sog. Password Strength Meter zur Erhöhung der Passwort-Sicherheit. Zu erstellende Passwörter können auf diese Weise schnell anhand von Kriterien wie Länge, Zufälligkeit und Komplexität bewertet werden.
Unterstützung einer sicheren Konfiguration, indem die Experteneinstellungen für die Bearbeitung von Konfigurationswerten weiter verbessert werden. Dies umfasst u.a. die ausreichende Validierung von Eingabewerten, Kennzeichnung von finalisierten Werten oder die Implementierung eines Filters für vom Standardwert abweichende Konfigurationswerte.
Implementierung einer performanten Dokumentenverschlüsselung auf Basis moderner Algorithmen zur Verschlüsselung und Schlüsselableitung.
Das durch das BSI initiierte Projekt startete im September 2023 und wurde von zwei unabhängigen Dienstleistern bearbeitet. In einem ersten Schritt wurden die Entwicklungsarbeiten in LibreOffice von der Firma allotropia software GmbH geleistet. Anschließend wurde ein Audit der Sicherheitseigenschaften von der OpenSource Security GmbH durchgeführt.
Hierdurch wurde ein hohes Maß an Qualität gewährleistet und Probleme konnten direkt im Anschluss an die Entwicklung erkannt und zügig behoben werden. Im Rahmen des Projektes bot sich als zusätzliches Ziel die Überprüfung an, inwiefern LLMs (Large Language Models) effektiv zur Code-Analyse eingesetzt werden können. Hierfür evaluierte ein LLM die von einem statischen Codeanalysetool generierte Ausgabe. Die Ergebnisse wurden anschließend bewertet. Das Ergebnis des IT-Sicherheitsaudits ist in einem englischsprachigen Bericht: Security Assessment of LibreOffice dargestellt.
Die umgesetzten Entwicklungsarbeiten stehen alle innerhalb der Version 24.8 von LibreOffice zur Verfügung, welche ab Ende August 2024 allgemein zur Verfügung stehen soll.