Kommentar: Was bringt das Blockieren von Office-Makros aus dem Internet?

Historisch gesehen ist dieser Schritt – längst – überfällig. Denn tatsächlich waren Makroviren schon ein Problem, bevor die Office-Anwendungen zu einer Suite von Tools mit einer gemeinsamen Makro-Codiersprache namens VBA (Visual Basic for Applications) zusammengeführt wurden. Doch was bedeutet dieser Schritt aus Redmond wirklich und was bringt es aus Sicht der Sicherheit für die Benutzer*innen?

Skripte waren gut gemeinter Ansatz

Bereits vor 1997 verfügte Microsoft Word beispielsweise über eine eigene Skriptsprache namens WordBasic, die von Malware-Akteuren in großem Umfang für die Programmierung selbstladender Computerviren missbraucht wurde. Als dann später die standardisierte und leistungsfähigere Skriptsprache im Zusammenhang mit Office zum Einsatz kam, stürzten sich die Cyberkriminellen darauf wie der Teufel auf eine arme Seele.

Aus Sicht des Softwareanbieters waren die Skripte ein gut gemeinter Ansatz, denn wenn ein Office-Dokument ein eingebettetes Makro enthielt, dessen Name mit einer der Office-Menüoptionen übereinstimmte, wurde dieses Makro automatisch ausgelöst, sobald jemand auf den entsprechenden Menüpunkt klickte. Auf diese Weise konnten Unternehmen das Verhalten ihrer Office-Anwendungen leicht an ihre eigenen Arbeitsabläufe anpassen, was enorm praktisch war.

Virus-Angriff brauchte keine speziellen Hacking-Kenntnisse

Sicherheitstechnisch sind Makros aber ein nicht unerhebliches Problem. Etwa ereignisbasierte Makros, wie Auto_Open, wurden automatisch ausgelöst, sobald der Nutzer das Dokument nur “ansah“. Ein Segen für einen Malware-Autor, der eine Dokumentendatei mit einer Falle versehen wollte. Denn um bei jedem Aufruf des Dokuments ein eingebettetes Virus auszulösen, waren keine speziellen Hacking- oder Programmierkenntnisse notwendig.

Ein zusätzlicher Teil des Problems bestand auch darin, dass die große Mehrheit der Benutzer*innen die VBA eigentlich gar nicht brauchten, dennoch gezwungen war, es zu installieren und standardmäßig zu aktivieren. Jahrelang hat die Cybersicherheitsbranche Microsoft gedrängt, die Standardeinstellungen von Office so zu ändern, dass bei der Installation die VBA-Funktionalität deaktiviert werden kann oder auf Wunsch sogar überhaupt nicht installiert wird.  Die Antwort aus Redmond war immer „Nein“.

Gruppenrichtlinien für strengere Makrokontrollen

Letzten Endes hat sich auch Microsoft dem Thema Cybersicherheit angenommen und kontinuierlich Änderungen am VBA-Ökosystem vorgenommen. Diese haben dazu beigetragen, die „freie Bahn“ der Virenschreiber in den späten 1990er Jahren einzudämmen.

Beispiele sind etwa die einfachere und schnellere Erkennung, ob es sich bei einer Datei um ein reines Dokument handelt, wodurch schnell zwischen Dokumentobjekten, die überhaupt keine Makros enthalten und Vorlagendateien mit Makrocode, unterschieden werden konnte. Allerdings hat dies die Makro-Malware im Allgemeinen nicht verhindert. So nützlich die Funktion auch ist, dass Makros erst dann ausgeführt werden, wenn sie zugelassen werden, die Cyberkriminellen haben gelernt, auch diese Hürde zu umgehen.

Eine weitere Variante der Eindämmung sollen Einstellungen in den Gruppenrichtlinien für strengere Makrokontrollen in Unternehmensnetzwerken darstellen. Damit können Administratoren beispielsweise Makros in Office-Dateien, die von außerhalb des Netzwerks stammen, vollständig blockieren. Damit können Benutzer:innen die Ausführung von Makros in Dateien, die sie per E-Mail erhalten oder aus dem Internet heruntergeladen haben, nicht per Mausklick aktivieren. Diese hilfreiche Einstellung ist jedoch derzeit standardmäßig deaktiviert.

Bestenfalls ein Teilsieg über VBA-Malware

Die jüngste Ankündigung ist auf den ersten Blick daher erfreulich. Allerdings bedeutet das standardmäßige Blockieren von Makros nur einen kleinen Sicherheitsschritt für Office-Benutzer, denn:

  • VBA wird weiterhin in vollem Umfang unterstützt, und es ist weiterhin möglich, Dokumente per E-Mail oder im Browser zu speichern und sie dann lokal so zu öffnen, dass eingebettete Makros zulässig sind. Es ist also damit zu rechnen, dass Cyberkriminelle Wege finden, diese Hürde zu umgehen.
  • Diese Änderungen werden die älteren Office-Versionen erst in einigen Monaten, vielleicht sogar Jahren, erreichen. Selbst die aktuelle Version wird das standardmäßige Blockieren von Makros frühestens im Januar 2023 enthalten. Änderungsdaten für Office 2021 und früher wurden noch nicht einmal bekannt gegeben.
  • Mobile und Mac-Benutzer werden diese Änderung überhaupt nicht erhalten.
  • Es sind nicht alle Office-Komponenten enthalten. Offenbar werden nur Access, Excel, PowerPoint, Visio und Word diese neue Einstellung erhalten. Obwohl diese Dateitypen den Großteil der Angriffe abdecken, wäre es besser, wenn diese Makro-Blockierfunktion für alle Microsoft-Produkte gelten würde.
Roger Homrich

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

8 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

9 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago