Eines der Haupteinfallstore für Ransomware und andere Schadsoftware sind Makros, die sich in E-Mail-Anhängen verstecken. Diese Gefahr können Sie mit wenigen Handgriffen eliminieren – und das völlig kostenlos! In diesem Artikel erfahren Sie, warum die Deaktivierung von Makros ein entscheidender Schritt für Ihre IT-Sicherheit ist.

Was sind Makros und warum sind sie riskant?

Definition und Funktionsweise

Makros sind kleine Programme, die in Dateien wie Word-, Excel-, PowerPoint- oder PDF-Dokumenten eingebettet werden können. Sie dienen dazu, Vorgänge zu automatisieren und können in legitimen Anwendungen sehr nützlich sein.

Typische Einsatzgebiete für legitime Makros sind zum Beispiel:

●
Automatisierung wiederkehrender Aufgaben in Excel
●
Formatierung und Layout-Anpassungen in Word
●
Datenverarbeitung und Berechnungen
●
Integration mit externen Datenquellen
●
Benutzerdefinierten Funktionen und Arbeitsabläufe

Das Sicherheitsrisiko

Warum Makros gefährlich sind: Leider nutzen Cyberkriminelle diese Funktion ebenfalls, um Schadsoftware auf Ihrem System auszuführen und die Kontrolle über Ihr IT-System zu erlangen.

Typische Angriffsvektoren sind:

●
E-Mail-Anhänge mit schädlichen Makros
●
Fake-Rechnungen und Geschäftsdokumente
●
Vermeintliche Software-Updates
●
Bewerbungsunterlagen mit Malware
●
Angebliche Sicherheitswarnungen

Warum Makros so effektiv für Angreifer sind

Makro-Angriffe funktionieren in der Praxis oft deshalb so gut, weil mehrere Faktoren zusammenkommen:

●
Office-Dokumente genießen einen hohen Vertrauensvorsprung und wirken auf den ersten Blick harmlos
●
Makros können weitreichende Berechtigungen erhalten und damit tief ins System eingreifen
●
Angreifer kombinieren sie häufig mit Social Engineering, um Nutzer zur Aktivierung zu bewegen
●
Nicht jede Sicherheitslösung erkennt Makro-basierte Angriffe zuverlässig

Die Gefahr durch aktivierte Makros

Angriffszenarien

Typische Schadensbilder sind zum Beispiel:

Emotet und andere Banking-Trojaner

●
Diebstahl von Banking-Credentials
●
Spionage von Tastatureingaben
●
Weiterleitung an andere Malware-Familien

Ransomware-Angriffe

●
Verschlüsselung aller erreichbaren Dateien
●
Erpressung mit Lösegeld-Forderungen
●
Potentielle Datenexfiltration vor Verschlüsselung

Advanced Persistent Threats (APT)

●
Langfristige, unentdeckte Kompromittierung
●
Spionage und Datensammlung
●
Lateral Movement im Netzwerk

Der Faktor Mensch

Das Problem: Öffnen Sie eine Datei, die ein Makro enthält, fragt das Programm in der Regel um Ihre Erlaubnis zur Ausführung. Das Problem dabei ist, dass die meisten Nutzerinnen und Nutzer nicht einschätzen können, ob das Makro sicher ist oder nicht.

Angreifer nutzen dabei häufig klassische Social-Engineering-Taktiken:

●
Verwendung bekannter Absender-Adressen (Spoofing)
●
Bezugnahme auf bestehende Konversationen
●
Erzeugung von Zeitdruck und Dringlichkeit
●
Imitation offizieller Dokumente und Logos
●
Ausnutzung aktueller Ereignisse (COVID-19, Steuererklärungen, etc.)

Warum die Entscheidung nicht den Nutzern überlassen werden sollte

In den meisten Fällen fehlt Mitarbeitenden das notwendige Fachwissen, um das Risiko eines Makros realistisch einzuschätzen. Hinzu kommen psychologische Faktoren wie:

●
Confirmation Bias: Menschen neigen dazu, Warnungen zu ignorieren
●
Betriebsblindheit: Routine führt zu nachlässigem Verhalten
●
Autoritätshörigkeit: Anweisungen von vermeintlichen Vorgesetzten werden befolgt
●
Zeitdruck: Unter Stress werden Sicherheitsüberlegungen vernachlässigt

Deshalb ist es wichtig, das Ausführen von Makros grundsätzlich zu verbieten.

Technische Umsetzung der Makro-Deaktivierung

Deaktivierung über Gruppenrichtlinien

Die Deaktivierung von Makros ist unkompliziert und kann mit wenigen Klicks umgesetzt werden. In Windows können Sie über die Gruppenrichtlinien das Ausführen von Makros generell untersagen.

Der zentrale Konfigurationspfad lautet:

Computer Configuration > Administrative Templates > Microsoft Office > Security Settings

Wichtige Einstellungen sind:

●
VBA-Makros in Office-Anwendungen deaktivieren
●
Vertrauensstellungen für VBA-Projektzugriff deaktivieren
●
ActiveX-Steuerelemente in Office-Anwendungen blockieren
●
Externe Inhalte in Office-Dokumenten deaktivieren

Lokale Konfiguration für Einzelplätze

Für Word, Excel und PowerPoint gehen Sie typischerweise so vor:

1.
Datei → Optionen → Sicherheitscenter → Einstellungen für das Sicherheitscenter
2.
Makroeinstellungen → "Alle Makros ohne Benachrichtigung deaktivieren"
3.
Entwicklertools aus der Menüleiste entfernen

Für IT-Administratoren kann zusätzlich eine Registry-Konfiguration sinnvoll sein:

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Excel\Security]
"VBAWarnings"=dword:00000004

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security]
"VBAWarnings"=dword:00000004

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\PowerPoint\Security]
"VBAWarnings"=dword:00000004

Konfiguration für alternative Office-Suiten

Für LibreOffice oder OpenOffice:

●
Tools → Options → LibreOffice → Security
●
Macro Security → "Very High" auswählen
●
Trusted Sources entsprechend konfigurieren

Für Google Workspace:

●
Admin Console → Apps → Google Workspace → Drive and Docs
●
Sharing Settings → Macro ausführung deaktivieren

Ausnahmen für benötigte Makros

Signierte Makros

Die meisten kleinen und mittelständischen Unternehmen (KMU) verwenden ohnehin keine Makros. Falls Ihr Unternehmen jedoch auf bestimmte Makros angewiesen ist, kann Ihr Systemadministrator diese Makros digital signieren und ihre Ausführung erlauben.

Die wichtigsten Vorteile signierter Makros sind:

●
Authentizität und Integrität werden gewährleistet
●
Nur vertrauenswürdige Makros werden ausgeführt
●
Audit-Trail für alle Makro-Ausführungen
●
Schutz vor Manipulation

Implementierung einer Makro-Signatur-Infrastruktur

Für eine saubere Signatur-Infrastruktur brauchen Sie mindestens:

1.
Code-Signing-Zertifikat: Von einer vertrauenswürdigen Zertifizierungsstelle
2.
Signierungsprozess: Standardisierter Workflow für Makro-Erstellung
3.
Verteilung: Sichere Bereitstellung signierter Makros
4.
Wartung: Regelmäßige Erneuerung der Zertifikate

Ein einfaches technisches Beispiel:

# Beispiel für PowerShell-basierte Makro-Signierung
Set-AuthenticodeSignature -FilePath "Makro.xlsm" -Certificate $cert

Sandbox-Umgebungen für Makros

Kritische Makros können notfalls in kontrollierten Umgebungen ausgeführt werden. Geeignete Technologien sind zum Beispiel:

●
Microsoft Application Guard
●
VMware Horizon
●
Citrix Virtual Apps
●
Container-basierte Isolation

Monitoring und Compliance

Überwachung der Makro-Aktivitäten

Für die technische Überwachung bietet sich ein Security Information and Event Management (SIEM) an, etwa für:

●
Protokollierung aller Makro-Ausführungsversuche
●
Alerting bei unautorisierten Makro-Aktivitäten
●
Korrelation mit anderen Sicherheitsereignissen
●
Forensische Analyse von Sicherheitsvorfällen

Sinnvolle Kennzahlen sind zum Beispiel:

●
Anzahl blockierter Makro-Ausführungen
●
Anzahl signierter vs. unsignierter Makros
●
Benutzer-Compliance-Rate
●
False-Positive-Rate bei Makro-Blockierungen

Audit und Compliance

Zur Dokumentation gehören unter anderem:

●
Richtlinien zur Makro-Verwendung
●
Genehmigungsprozesse für legitime Makros
●
Schulungsnachweis für Mitarbeiter
●
Incident-Response-Verfahren

Je nach Branche können zusätzliche Anforderungen relevant sein:

●
Finanzdienstleistungen: BaFin-Anforderungen, MaRisk
●
Gesundheitswesen: HIPAA, GDPR
●
Industrie: IEC 62443, NIS-2-Richtlinie

Alternativen zu Makros

Moderne Automatisierungstools

Statt Makros kommen heute oft modernere Plattformen zum Einsatz, zum Beispiel:

●
Power Automate für Workflow-Automatisierung
●
Power Apps für benutzerdefinierte Anwendungen
●
Power BI für Datenanalyse und Reporting

Auch cloudbasierte Automatisierungsdienste können eine Alternative sein:

●
Microsoft 365 Flow
●
Google Apps Script
●
Zapier für SaaS-Integration
●
IFTTT für einfache Automatisierung

Sichere Programmierungsalternativen

Sicherere Alternativen zu klassischen Makros sind zum Beispiel Office Add-ins:

●
TypeScript/JavaScript-basierte Erweiterungen
●
Sandboxed Execution Environment
●
Moderne Security-Standards
●
Einfachere Wartung und Updates

Auch API-basierte Integrationen sind oft der bessere Weg:

●
Microsoft Graph API
●
REST-basierte Datenintegration
●
OAuth 2.0 Authentication
●
Granulare Berechtigungskontrolle

Mitarbeiterschulung und Awareness

Schulungsinhalte

In der Grundlagen-Awareness sollten unter anderem diese Punkte vorkommen:

●
Was sind Makros und warum sind sie gefährlich?
●
Erkennungsmerkmale verdächtiger E-Mails
●
Korrekte Reaktion bei Makro-Warnungen
●
Meldeverfahren für verdächtige Dokumente

Zusätzlich helfen praktische Übungen:

●
Simulation von Makro-basierten Angriffen
●
Hands-on Training mit Office-Sicherheitseinstellungen
●
Incident-Response-Szenarien
●
Bewertung der Lernfortschritte

Kontinuierliche Sensibilisierung

Für die laufende Sensibilisierung eignen sich zum Beispiel:

●
Regelmäßige Security-Newsletter
●
Intranet-Portal mit aktuellen Bedrohungen
●
Kurze Video-Tutorials
●
Lunch-and-Learn-Sessions

Gamification-Elemente können die Aufmerksamkeit zusätzlich erhöhen:

●
Security-Awareness-Quizzes
●
Belohnungssysteme für sicherheitsbewusstes Verhalten
●
Team-Challenges und Wettbewerbe
●
Zertifizierungsprogramme

Incident Response bei Makro-Angriffen

Sofortmaßnahmen

Bei Verdacht auf Makro-Malware sollten Sie strukturiert vorgehen:

1.
Isolierung: Betroffenes System sofort vom Netzwerk trennen
2.
Dokumentation: Screenshot der Warnmeldung und betroffene Dateien
3.
Benachrichtigung: IT-Security-Team umgehend informieren
4.
Eindämmung: Weitere Systeme auf Kompromittierung prüfen

Forensische Analyse

Zu einer sauberen Untersuchung gehören typischerweise:

●
Analyse der ursprünglichen E-Mail und Anhänge
●
Makro-Code-Review und Schadens-Assessment
●
Netzwerk-Traffic-Analyse
●
System-Logs und Event-Korrelation
●
Bestimmung des Infection-Vectors

Recovery und Lessons Learned

Nach dem Vorfall sind vor allem diese Wiederherstellungsmaßnahmen wichtig:

●
System-Neuaufsetung oder saubere Backups
●
Passwort-Reset für betroffene Accounts
●
Aktualisierung der Sicherheitsrichtlinien
●
Verstärkung der Monitoring-Maßnahmen

Zukunftstrends und Entwicklungen

Entwicklung der Bedrohungslandschaft

In Zukunft sind unter anderem diese Entwicklungen relevant:

●
KI-generierte Makros für bessere Tarnung
●
Kombinierte Angriffe (Makros + Social Engineering)
●
Cloud-basierte Command & Control
●
Living-off-the-Land-Techniken

Technologische Gegenmaßnahmen

Auf der Verteidigungsseite zeichnen sich unter anderem diese Ansätze ab:

●
Machine Learning für Makro-Anomalie-Erkennung
●
Behavioral Analytics für Benutzerverhalten
●
Zero-Trust-Architekturen für Dokumente
●
Blockchain-basierte Code-Signierung

Fazit

Die Deaktivierung von Makros ist ein einfacher, aber äußerst wirksamer Schritt, um die IT-Sicherheit in Ihrem Unternehmen zu erhöhen. Sie minimieren das Risiko, Opfer von Ransomware oder anderer Schadsoftware zu werden, erheblich.

Die wichtigsten Takeaways sind:

1.
Präventive Deaktivierung: Blockieren Sie Makros standardmäßig in allen Office-Anwendungen
2.
Signierte Ausnahmen: Für notwendige Makros implementieren Sie ein Signierungsverfahren
3.
Mitarbeiterschulung: Sensibilisieren Sie Ihre Teams für die Risiken
4.
Monitoring: Überwachen Sie Makro-Aktivitäten und Sicherheitsvorfälle
5.
Alternativen: Nutzen Sie moderne, sicherere Automatisierungstools

Nehmen Sie sich die Zeit, diese Einstellung vorzunehmen. Ein kleiner Konfigurationsaufwand kann Sie vor großen finanziellen und operativen Schäden bewahren.

Mit der richtigen Kombination aus technischen Schutzmaßnahmen, organisatorischen Richtlinien und Mitarbeiterschulungen können Sie das Risiko von Makro-basierten Angriffen nahezu eliminieren.