Consulting Briefing: Thema des Tages
Office-Apps erhalten neuen Sicherheits-BaselineSecurity-Baseline 2512 für Microsoft 365 Apps: Office wird erwachsen (und ein bisschen strenger)
Microsoft hat mit der Security-Baseline v2512 (Dezember 2025) für Microsoft 365 Apps ordentlich nachgeschärft. Im Kern geht es um ein simples Prinzip: Angriffsflächen verkleinern, damit Office-Dokumente nicht mehr heimlich als Lieferdienst für Schadcode, Datenabfluss oder Protokoll-Tricksereien herhalten. Wer „Zero Trust“ sagt, muss eben auch bei Excel-Dateien hart bleiben.
Das Paket kommt über das Microsoft Security Compliance Toolkit und liefert empfohlene Richtlinienwerte, die sich in Unternehmen sauber ausrollen lassen – inklusive Hinweisen, welche Einstellungen potenziell „spannend“ werden könnten.
Und ja: „spannend“ ist hier das höfliche Wort für „kann alten Kram brechen“. Genau deshalb lohnt sich ein planvoller Rollout.
Was wird neu blockiert?
Die Baseline v2512 bringt mehrere sicherheitsrelevante Aktualisierungen. Drei davon treffen in der Praxis besonders häufig auf echte Workflows (und echte Gewohnheiten).
1) Excel: Externe Verknüpfungen zu blockierten Dateien werden abgewürgt
Excel hatte lange eine Art Hintertür-Charme: Selbst wenn bestimmte Dateitypen per „File Block“ im Trust Cen0ter blockiert waren, konnten externe Links (also Verknüpfungen) unter Umständen tr00otzdem Daten nachladen oder aktualisieren. Damit ist jetzt Schluss:
Die Baseline sorgt dafür, dass externe Links zu per File Block gesperrten Arbeitsmappen nicht mehr aktualisiert werden. Versuche, solche Links zu erstellen oder zu aktualisieren, laufen in einen Fehler. Das verhindert, dass Daten aus unvertrauenswürdigen oder potenziell schädlichen Quellen in scheinbar harmlose Tabellen „einsickern“.
Policy-Pfad (laut Baseline):
User Configuration \ Administrative Templates \ Microsoft Excel 2016 \ Excel Options \ Security \ Trust Center \ File Block Settings \ File Block includes external link files
Was Anwender merken:
-
Links, die früher „irgendwie noch gingen“, liefern plötzlich #BLOCKED oder aktualisieren nicht mehr.
-
Modelle mit vielen externen Datenquellen (Controlling, BI-Light in Excel, Monatsreporting) sind die üblichen Kandidaten.
2) Block Insecure Protocols: HTTPS wird Pflicht, „Fallback“ ist raus
Die Baseline blockiert beim Öffnen von Dokumenten alle Nicht-HTTPS-Protokolle. Ziel: keine „Downgrade“-Wege mehr, keine stillen Ausweichmanöver auf unsichere Verbindungen. Das ist klassisches Zero-Trust-Handwerk: Transport absichern, Umwege verbieten.
Policy-Pfad:
User Configuration \ Administrative Templates \ Microsoft Office 2016 \ Security Settings \ Block Insecure Protocols
Was das praktisch heißt:
-
Wenn irgendwo noch
http://oder exotische Alt-Protokolle in Vorlagen, Verknüpfungen, eingebetteten Objekten oder Automatismen stecken: Office sagt nein. -
Das ist gut. Aber es ist auch der Moment, in dem der eine uralte Link im Team-Wiki auffliegt, den „seit 2017 keiner anfassen darf, sonst bricht alles“.
3) Veraltete Automatisierung: MSGraph/OLE Graph wird stillgelegt, OrgChart auch
Zwei Klassiker aus der „Office war mal jung“-Ära werden in v2512 gezielt entschärft:
a) Block OLE Graph Functionality (MSGraph.Application / MSGraph.Chart)
Die Baseline verhindert, dass diese klassischen OLE-Graph-Komponenten ausgeführt werden. Statt aktiver Inhalte rendert Microsoft 365 Apps nur noch ein statisches Bild. Hintergrund: Diese Automatisierungsschnittstellen gelten historisch als riskant, weil sie Angriffsfläche für Missbrauch bieten.
Policy-Pfad:
User Configuration \ Administrative Templates \ Microsoft Office 2016 \ Security Settings \ Block OLE Graph
b) Block OrgChart Add-in
Das alte OrgChart-Add-in wird deaktiviert – ebenfalls mit „Bild statt Ausführung“ als Schonmodus. Sinn und Zweck: Weniger Legacy-Automatisierung, weniger Überraschungen.
Policy-Pfad:
User Configuration \ Administrative Templates \ Microsoft Office 2016 \ Security Settings \ Block OrgChart
Bonus-Härtung: FPRPC-Fallback wird eingeschränkt (FrontPage lässt grüßen)
Die Baseline deaktiviert außerdem, dass Microsoft 365 Apps auf FrontPage Server Extensions RPC (FPRPC) zurückfallen dürfen – ein betagtes Protokoll, das nicht für moderne Sicherheitsanforderungen gebaut wurde. Ziel: konsequent moderne, authentifizierte Zugriffsmethoden nutzen.
Policy-Pfad:
User Configuration \ Administrative Templates \ Microsoft Office 2016 \ Security Settings \ Restrict Apps from FPRPC Fallback
Warum macht Microsoft das?
Kurzfassung: Weil Angreifer Office lieben.
Längere Fassung: Die Maßnahmen passen zu „Secure by Design“ und dem Zero-Trust-Gedanken:
-
Kein Vertrauen in Inhalte oder Quellen, nur weil sie „intern aussehen“ (z. B. externe Links in Excel).
-
Keine unsicheren Transportwege (kein Ausweichen auf Nicht-HTTPS).
-
Legacy-Automation abklemmen, weil alt + mächtig + weit verbreitet = beliebtes Einfallstor.
Umsetzung: Intune, Gruppenrichtlinien, Cloud Policies – und die Reihenfolge ist wichtig
Microsoft nennt mehrere Wege zur Umsetzung und auch die Priorität:
-
Office Cloud Policies (Office cloud policy service) überschreiben
-
ADMX / Gruppenrichtlinien überschreiben
-
Lokale Anwender-Einstellungen im Trust Center
Das ist Gold wert im Troubleshooting: Wenn „es sich nicht so verhält wie gedacht“, liegt es oft an einer höher priorisierten Ebene.
Rollout über Intune (praktisch, wenn ihr modern verwaltet)
-
Nutzt Settings Catalog oder Administrative Templates in Intune (ADMX-basiert).
-
Arbeitet mit Pilotgruppen (Ring 0/1), bevor ihr breit ausrollt.
Rollout über Gruppenrichtlinien (klassisch, aber bewährt)
-
Baseline-Paket aus dem Toolkit ziehen, GPOs importieren, dann gezielt anpassen.
-
Besonders wichtig: Microsoft trennt „potenziell herausfordernde“ Einstellungen gern separat – das ist ein Hinweis, wo Tests Pflicht sind.
Worauf ihr beim Rollout achten solltet
1) Kompatibilität testen (ja, wirklich)
-
Excel-Modelle mit externen Links: prüfen, ob Quellen oder Dateitypen künftig blockiert sind.
-
Vorlagen/Altdokumente mit OLE-Graph/OrgChart: prüfen, ob „Bild statt Funktion“ akzeptabel ist.
-
Links und Einbindungen: alles auf HTTPS bringen.
2) Fehlermeldungen vorbereiten
Wenn Anwender plötzlich #BLOCKED sehen oder Inhalte „nur noch als Bild“ auftauchen, brauchen sie eine klare Erklärung – sonst landet das Thema als „Office kaputt“ im Ticketsystem, mit Priorität „Feuer“.
3) Ausnahmeprozesse definieren
Nicht als Dauerlösung, sondern als sauber dokumentierte Ausnahme: Wer darf warum abweichen? Wie lange? Mit welchem Risiko-Owner?
Kommunikation: Wie man Power-User nicht verschreckt
Power-User sind keine Gegner, sie sind nur… kreativ mit Excel.
Ein praxistaugliches Kommunikationspaket:
-
Kurzinfo (1 Seite): Was ändert sich, warum, ab wann?
-
FAQ: „Warum geht mein Link nicht mehr?“, „Was bedeutet #BLOCKED?“, „Warum ist das Diagramm jetzt ein Bild?“
-
Handlungsanweisungen: „Nutze HTTPS“, „migriere alte Dateien“, „ersetze Legacy-Add-ins“, „prüfe Datenquellen“.
-
Pilot-Feedback-Kanal: Ein fester Ort, wo Rückmeldungen landen – nicht als Flurfunk.
Fazit: Sicherer, sauberer, weniger „Office als Abenteuerpark“
Die Security-Baseline 2512 macht Microsoft 365 Apps weniger flexibel an den falschen Stellen: unsichere Protokolle, Legacy-Automation und indirektes Nachladen aus blockierten Dateitypen werden gezielt ausgebremst. Das kann kurzfristig Reibung erzeugen – langfristig sorgt es aber für ein Office-Umfeld, das weniger Überraschungen produziert und besser zu Zero Trust passt.
Wer es richtig macht, bekommt am Ende nicht nur mehr Sicherheit, sondern auch bessere Hygiene: aktuelle Links, klare Datenflüsse, weniger „historisch gewachsene“ Spezialfälle. Und ganz nebenbei: Der Montagmorgen wird ruhiger. Office kann nämlich auch nett sein – wenn man es lässt.