Eine der häufigsten Methoden zur Verbreitung von Malware ist das Hinzufügen bösartiger Befehle zu Makros in Dokumenten. In den meisten Fällen handelt es sich dabei um Makros für Microsoft-Office-Dateien. Das heißt, für Word-Dokumente, Excel-Tabellen oder Power-Point-Präsentationen; Dateien mit denen ein durchschnittlicher Unternehmensmitarbeiter täglich zu tun hat.
#Microsoft cancelt seine Entscheidung, #Makros standardmäßig zu blockieren. Was bedeutet das für die #Cybersicherheit von Unternehmen?
Tweet
Das Problem ist bereits über 20 Jahre alt und eine Lösung, nett ausgedrückt, somit längst überfällig. Im Februar dieses Jahres kündigte Microsoft an, die Ausführung von Makros in heruntergeladenen Dokumenten zu blockieren. Doch bereits Anfang Juli mussten Office-Nutzer feststellen, dass diese Neuerung wieder zurückgezogen wurde. Eine offizielle Stellungnahme zu dieser Entscheidung hat das Unternehmen zum Zeitpunkt der Veröffentlichung dieses Artikels noch nicht abgegeben, obwohl ein Sprecher darauf hinwies, dass es sich um eine vorübergehende Maßnahme handele, die „auf Rückmeldungen“ beruhe. In jedem Fall ist dies ein guter Zeitpunkt, sich erneut ins Gedächtnis zu rufen, was Makros genau sind, wie sie die Cybersicherheit von Unternehmen gefährden können und wie man sich vor dieser Bedrohung schützen kann.
Was sind Makros und warum sind sie gefährlich?
Oft müssen Microsoft-Office-Nutzer verschiedene Prozesse automatisieren. Dazu können Sie einen bestimmten Algorithmus oder eine Abfolge von Aktionen programmieren, die als Makro bezeichnet werden. Ein einfaches Beispiel: Ein Buchhalter erstellt jeden Monat einen Standardbericht. Um Zeit zu sparen, erstellt er ein Makro, das automatisch die Namen der Kunden in der zweiten Spalte fett markiert.
Makros werden in VBA (Visual Basic for Applications), einer vereinfachten Programmiersprache, erstellt. Und wie so häufig, können Angreifer diese für ihre eigenen Zwecke missbrauchen.
An dieser Stelle sei gesagt, dass Makros eine sehr gute Kenntnis der Office-Suite voraussetzen, über die bei weitem nicht alle Mitarbeiter verfügen, auch wenn das in ihrem Lebenslauf steht. Manche wissen nicht einmal, dass es Makros gibt. Cyberkriminelle hingegen verwenden Makros nicht zur Erstellung harmloser Algorithmen zur Automatisierung von Routinen, sondern für Befehle mit bösartigen Hintergedanken.
Wie funktionieren Makros?
Ein typischer Angriff auf ein Unternehmen beginnt mit einem Massenversand schädlicher E-Mails an die Mitarbeiter. Diese Nachrichten können wie Stellenangebote, Unternehmensnachrichten, Rechnungen, Informationen über Bewerber usw. aussehen. Der Grad ihrer Raffinesse wird nur durch die Fantasie der Angreifer begrenzt. Das Hauptziel besteht darin, den Empfänger dazu zu bringen, die angehängte Datei zu öffnen oder ein Dokument herunterzuladen, indem den angegebenen Link öffnet.
An dieser Stelle ist es für die Cyberkriminellen wichtig, dass der bösartige Makro in der Datei ausgeführt wird. Vor langer Zeit wurden eingebettete Makros automatisch ausgeführt; diese Funktion schränkte Microsoft jedoch ein und Benutzer werden beim Öffnen einer Download-Datei darüber informiert, dass Makros deaktiviert sind.
Problem aus der Welt geschafft, oder etwa nicht? Nicht ganz. Viele Benutzer klicken unbedacht auf die Schaltfläche „Inhalte aktivieren“ und erlauben damit die automatische Ausführung der genannten Makros, was Malware Tür und Tor öffnet. Auf diese Weise verschaffen sich Angreifer oft Zugang zur Infrastruktur des Zielunternehmens. Außerdem haben die meisten Mitarbeiter, wie bereits erwähnt, keine Ahnung, welche Probleme ein unschuldiger Klick auf die Schaltfläche „Inhalte aktivieren“ mit sich bringen kann.
Endlich hat Microsoft die einzig richtige Entscheidung getroffen – dem Benutzer keine Wahl zu lassen, sondern Makros in heruntergeladenen Dateien standardmäßig zu blockieren. Die gesamte Infosec-Expertengemeinschaft begrüßte diese Nachricht, und die Neuerung wurde Anfang April dieses Jahres umgesetzt. Anstelle einer Schaltfläche sahen die Nutzer nun eine Sicherheitswarnung mit einem Link zu einem Beitrag über die Risiken von Makros. Doch die Freude war nur von kurzer Dauer – die Änderung wurde kurz darauf wieder zurückgenommen.
So können Sie sich schützen
IT-Administratoren in Großunternehmen konnten Makros schon immer auf Sicherheitsrichtlinienebene deaktivieren. Wenn Ihre Arbeitsabläufe die Verwendung von Makros nicht erfordern, empfehlen wir Ihnen, dies ebenfalls zu tun. Nutzern erscheint dann folgende Warnung:
Sollte Ihnen diese Option aus irgendeinem Grund nicht zur Verfügung stehen, so ist es bis zur Wiedereinführung der standardmäßigen Blockierung von Makros in heruntergeladenen Dateien durch Microsoft unerlässlich, alle Arbeitsgeräte mit zuverlässigen Sicherheitslösungen zu schützen. Zudem empfehlen wir, Mitarbeiter in den Grundlagen der Cybersicherheit zu schulen und dabei folgende Schwerpunkte zu setzen:
- Laden Sie keine unerwarteten Dateien herunter, auch wenn sie von einer Person oder einem Unternehmen zu stammen scheinen, der/dem Sie vertrauen.
- Stimmen Sie nicht blindlings der Freigabe von Inhalten in Dateien zu, die Sie aus dem Internet heruntergeladen oder per E-Mail erhalten haben.
- Wenn Sie in einer E-Mail oder auf einer Website zum Aktivieren von Inhalten aufgefordert werden, sollten Sie besonders hellhörig werden.