Eines der Haupteinfallstore für Ransomware und andere Schadsoftware sind Makros, die sich in E-Mail-Anhängen verstecken. Diese Gefahr können Sie mit wenigen Handgriffen eliminieren – und das völlig kostenlos! In diesem Artikel erfahren Sie, warum die Deaktivierung von Makros ein entscheidender Schritt für Ihre IT-Sicherheit ist.

Was sind Makros und warum sind sie riskant?

Definition und Funktionsweise

Makros sind kleine Programme, die in Dateien wie Word-, Excel-, PowerPoint- oder PDF-Dokumenten eingebettet werden können. Sie dienen dazu, Vorgänge zu automatisieren und können in legitimen Anwendungen sehr nützlich sein.

• ●Automatisierung wiederkehrender Aufgaben in Excel
• ●Formatierung und Layout-Anpassungen in Word
• ●Datenverarbeitung und Berechnungen
• ●Integration mit externen Datenquellen
• ●Benutzerdefinierten Funktionen und Arbeitsabläufe

Das Sicherheitsrisiko

Warum Makros gefährlich sind: Leider nutzen Cyberkriminelle diese Funktion ebenfalls, um Schadsoftware auf Ihrem System auszuführen und die Kontrolle über Ihr IT-System zu erlangen.

• ●E-Mail-Anhänge mit schädlichen Makros
• ●Fake-Rechnungen und Geschäftsdokumente
• ●Vermeintliche Software-Updates
• ●Bewerbungsunterlagen mit Malware
• ●Angebliche Sicherheitswarnungen

Warum Makros so effektiv für Angreifer sind

Vertrauensvorsprung: Office-Dokumente wirken harmlos und vertrauenswürdig

Weitreichende Berechtigungen: Makros können auf das gesamte System zugreifen

Benutzerinteraktion: Angreifer nutzen Social Engineering, um Benutzer zur Aktivierung zu bewegen

Umgehung von Sicherheitssoftware: Viele Antivirus-Programme erkennen Makro-basierte Angriffe nicht zuverlässig

Die Gefahr durch aktivierte Makros

Angriffszenarien

• ●Diebstahl von Banking-Credentials
• ●Spionage von Tastatureingaben
• ●Weiterleitung an andere Malware-Familien

• ●Verschlüsselung aller erreichbaren Dateien
• ●Erpressung mit Lösegeld-Forderungen
• ●Potentielle Datenexfiltration vor Verschlüsselung

• ●Langfristige, unentdeckte Kompromittierung
• ●Spionage und Datensammlung
• ●Lateral Movement im Netzwerk

Der Faktor Mensch

Das Problem: Öffnen Sie eine Datei, die ein Makro enthält, fragt das Programm in der Regel um Ihre Erlaubnis zur Ausführung. Das Problem dabei ist, dass die meisten Nutzerinnen und Nutzer nicht einschätzen können, ob das Makro sicher ist oder nicht.

• ●Verwendung bekannter Absender-Adressen (Spoofing)
• ●Bezugnahme auf bestehende Konversationen
• ●Erzeugung von Zeitdruck und Dringlichkeit
• ●Imitation offizieller Dokumente und Logos
• ●Ausnutzung aktueller Ereignisse (COVID-19, Steuererklärungen, etc.)

Warum die Entscheidung nicht den Nutzern überlassen werden sollte

Mangelndes Fachwissen: In den meisten Fällen fehlt Mitarbeitern das notwendige Fachwissen, um die Risiken korrekt einzuschätzen.

• ●Confirmation Bias: Menschen neigen dazu, Warnungen zu ignorieren
• ●Betriebsblindheit: Routine führt zu nachlässigem Verhalten
• ●Autoritätshörigkeit: Anweisungen von vermeintlichen Vorgesetzten werden befolgt
• ●Zeitdruck: Unter Stress werden Sicherheitsüberlegungen vernachlässigt

Technische Umsetzung der Makro-Deaktivierung

Deaktivierung über Gruppenrichtlinien

Die Deaktivierung von Makros ist unkompliziert und kann mit wenigen Klicks umgesetzt werden. In Windows können Sie über die Gruppenrichtlinien das Ausführen von Makros generell untersagen.

``

Computer Configuration > Administrative Templates > Microsoft Office > Security Settings

`

Wichtige Einstellungen:

• ●VBA-Makros in Office-Anwendungen deaktivieren
• ●Vertrauensstellungen für VBA-Projektzugriff deaktivieren
• ●ActiveX-Steuerelemente in Office-Anwendungen blockieren
• ●Externe Inhalte in Office-Dokumenten deaktivieren

Lokale Konfiguration für Einzelplätze

Microsoft Office-Einstellungen:

Für Word, Excel, PowerPoint:

1. 1.Datei → Optionen → Sicherheitscenter → Einstellungen für das Sicherheitscenter
2. 2.Makroeinstellungen → "Alle Makros ohne Benachrichtigung deaktivieren"
3. 3.Entwicklertools aus der Menüleiste entfernen

Registry-Einstellungen (für IT-Administratoren):

`registry

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Excel\Security]

"VBAWarnings"=dword:00000004

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security]

"VBAWarnings"=dword:00000004

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\PowerPoint\Security]

"VBAWarnings"=dword:00000004

`

Konfiguration für alternative Office-Suiten

LibreOffice/OpenOffice:

• ●Tools → Options → LibreOffice → Security
• ●Macro Security → "Very High" auswählen
• ●Trusted Sources entsprechend konfigurieren

Google Workspace:

• ●Admin Console → Apps → Google Workspace → Drive and Docs
• ●Sharing Settings → Macro ausführung deaktivieren

Ausnahmen für benötigte Makros

Signierte Makros

Für Unternehmen, die auf Makros angewiesen sind:

Die meisten kleinen und mittelständischen Unternehmen (KMU) verwenden ohnehin keine Makros. Falls Ihr Unternehmen jedoch auf bestimmte Makros angewiesen ist, kann Ihr Systemadministrator diese Makros digital signieren und ihre Ausführung erlauben.

Vorteile signierter Makros:

• ●Authentizität und Integrität werden gewährleistet
• ●Nur vertrauenswürdige Makros werden ausgeführt
• ●Audit-Trail für alle Makro-Ausführungen
• ●Schutz vor Manipulation

Implementierung einer Makro-Signatur-Infrastruktur

Anforderungen:

1. 1.Code-Signing-Zertifikat: Von einer vertrauenswürdigen Zertifizierungsstelle
2. 2.Signierungsprozess: Standardisierter Workflow für Makro-Erstellung
3. 3.Verteilung: Sichere Bereitstellung signierter Makros
4. 4.Wartung: Regelmäßige Erneuerung der Zertifikate

Technische Umsetzung:

`powershell

Beispiel für PowerShell-basierte Makro-Signierung

Set-AuthenticodeSignature -FilePath "Makro.xlsm" -Certificate $cert

``

Sandbox-Umgebungen für Makros

Isolierte Ausführung: Kritische Makros können in kontrollierten Umgebungen ausgeführt werden:

• ●Microsoft Application Guard
• ●VMware Horizon
• ●Citrix Virtual Apps
• ●Container-basierte Isolation

Monitoring und Compliance

Überwachung der Makro-Aktivitäten

• ●Protokollierung aller Makro-Ausführungsversuche
• ●Alerting bei unautorisierten Makro-Aktivitäten
• ●Korrelation mit anderen Sicherheitsereignissen
• ●Forensische Analyse von Sicherheitsvorfällen

• ●Anzahl blockierter Makro-Ausführungen
• ●Anzahl signierter vs. unsignierter Makros
• ●Benutzer-Compliance-Rate
• ●False-Positive-Rate bei Makro-Blockierungen

Audit und Compliance

• ●Richtlinien zur Makro-Verwendung
• ●Genehmigungsprozesse für legitime Makros
• ●Schulungsnachweis für Mitarbeiter
• ●Incident-Response-Verfahren

• ●Finanzdienstleistungen: BaFin-Anforderungen, MaRisk
• ●Gesundheitswesen: HIPAA, GDPR
• ●Industrie: IEC 62443, NIS-2-Richtlinie

Alternativen zu Makros

Moderne Automatisierungstools

• ●Power Automate für Workflow-Automatisierung
• ●Power Apps für benutzerdefinierte Anwendungen
• ●Power BI für Datenanalyse und Reporting

• ●Microsoft 365 Flow
• ●Google Apps Script
• ●Zapier für SaaS-Integration
• ●IFTTT für einfache Automatisierung

Sichere Programmierungsalternativen

• ●TypeScript/JavaScript-basierte Erweiterungen
• ●Sandboxed Execution Environment
• ●Moderne Security-Standards
• ●Einfachere Wartung und Updates

• ●Microsoft Graph API
• ●REST-basierte Datenintegration
• ●OAuth 2.0 Authentication
• ●Granulare Berechtigungskontrolle

Mitarbeiterschulung und Awareness

Schulungsinhalte

• ●Was sind Makros und warum sind sie gefährlich?
• ●Erkennungsmerkmale verdächtiger E-Mails
• ●Korrekte Reaktion bei Makro-Warnungen
• ●Meldeverfahren für verdächtige Dokumente

• ●Simulation von Makro-basierten Angriffen
• ●Hands-on Training mit Office-Sicherheitseinstellungen
• ●Incident-Response-Szenarien
• ●Bewertung der Lernfortschritte

Kontinuierliche Sensibilisierung

• ●Regelmäßige Security-Newsletter
• ●Intranet-Portal mit aktuellen Bedrohungen
• ●Kurze Video-Tutorials
• ●Lunch-and-Learn-Sessions

• ●Security-Awareness-Quizzes
• ●Belohnungssysteme für sicherheitsbewusstes Verhalten
• ●Team-Challenges und Wettbewerbe
• ●Zertifizierungsprogramme

Incident Response bei Makro-Angriffen

Sofortmaßnahmen

1. 1.Isolierung: Betroffenes System sofort vom Netzwerk trennen
2. 2.Dokumentation: Screenshot der Warnmeldung und betroffene Dateien
3. 3.Benachrichtigung: IT-Security-Team umgehend informieren
4. 4.Eindämmung: Weitere Systeme auf Kompromittierung prüfen

Forensische Analyse

• ●Analyse der ursprünglichen E-Mail und Anhänge
• ●Makro-Code-Review und Schadens-Assessment
• ●Netzwerk-Traffic-Analyse
• ●System-Logs und Event-Korrelation
• ●Bestimmung des Infection-Vectors

Recovery und Lessons Learned

• ●System-Neuaufsetung oder saubere Backups
• ●Passwort-Reset für betroffene Accounts
• ●Aktualisierung der Sicherheitsrichtlinien
• ●Verstärkung der Monitoring-Maßnahmen

Zukunftstrends und Entwicklungen

Entwicklung der Bedrohungslandschaft

• ●KI-generierte Makros für bessere Tarnung
• ●Kombinierte Angriffe (Makros + Social Engineering)
• ●Cloud-basierte Command & Control
• ●Living-off-the-Land-Techniken

Technologische Gegenmaßnahmen

• ●Machine Learning für Makro-Anomalie-Erkennung
• ●Behavioral Analytics für Benutzerverhalten
• ●Zero-Trust-Architekturen für Dokumente
• ●Blockchain-basierte Code-Signierung

Fazit

Die Deaktivierung von Makros ist ein einfacher, aber äußerst wirksamer Schritt, um die IT-Sicherheit in Ihrem Unternehmen zu erhöhen. Sie minimieren das Risiko, Opfer von Ransomware oder anderer Schadsoftware zu werden, erheblich.

1. 1.Präventive Deaktivierung: Blockieren Sie Makros standardmäßig in allen Office-Anwendungen
2. 2.Signierte Ausnahmen: Für notwendige Makros implementieren Sie ein Signierungsverfahren
3. 3.Mitarbeiterschulung: Sensibilisieren Sie Ihre Teams für die Risiken
4. 4.Monitoring: Überwachen Sie Makro-Aktivitäten und Sicherheitsvorfälle
5. 5.Alternativen: Nutzen Sie moderne, sicherere Automatisierungstools

Nehmen Sie sich die Zeit, diese Einstellung vorzunehmen – es lohnt sich für die Sicherheit Ihres Unternehmens. Ein kleiner Konfigurationsaufwand kann Sie vor großen finanziellen und operativen Schäden bewahren.

Mit der richtigen Kombination aus technischen Schutzmaßnahmen, organisatorischen Richtlinien und Mitarbeiterschulungen können Sie das Risiko von Makro-basierten Angriffen nahezu eliminieren.