Office Makros: Ransomware Infektionen

Leitfrage: Sind Makros bei Ihnen standardmäßig aktiviert?

Ransomware Infektionen sind eines der größten Probleme der heutigen Zeit. Eine Infektion geschieht häufig mithilfe von Office Makros.
Kommt es zu einer erfolgreichen Ransomware Attacke, so können hohe Kosten für das betroffene Unternehmen entstehen.
Einer der Hauptangriffsvektoren von Ransomware Gangs sind dabei, spezielle präparierte Office Dokumente, welche gezielt darauf abzielen, dass die Ausführung von Office Makros auf dem Opfersystem aktiviert ist oder aktivierbar ist.
In den meisten Fällen manipuliert man ein Dokument so, dass der Eindruck entsteht, die Aktivierung von Makros sei erforderlich, um das eigentliche Dokument anzeigen zu können. Bei der Aktivierung der Makros wird jedoch ein schadhaftes Makro ausgeführt, welches zu einer Malware Infektion führt.
In der beiliegenden Phishingmail wird des Weiteren auf die Wichtigkeit des Dokuments hingewiesen.
Zusätzlich täuscht der Angreifer in den meisten Fällen eine gewisse Dringlichkeit vor, um das Opfer dazu zu verleiten, das Dokument zu öffnen und die Makros auszuführen.
Es ist also zu empfehlen, die Makros unternehmensweit zu deaktivieren. In begründeten Ausnahmefällen ist es gestattet, diese zu aktivieren. Es ist jedoch wichtig, achtsam zu sein und Office-Dokumente aus dem Internet oder aus E-Mails nicht vorschnell zu öffnen.
Von der Ausnahme betroffene Mitarbeiter sind entsprechend zu schulen. Eine unternehmensweite Aktivierung ist zu vermeiden.
  • Schutz vor Ransomware
  • Prävention von Phishing Angriffen
Office Makros als Basiselemente der IT-Sicherheit

How To

Bei der Verwendung von Office Makros gibt es viele Gefahren.

Grundsätzlich sind Office Makros nicht zwangsläufig als böswillig einzustufen. Es gibt gutartige Makros, die den Umgang mit dem betreffenden Office Dokument erleichtern. Dies sind meist interne Entwicklungen des Unternehmens.

Stammt das Office Dokument, welches Makros verwendet, jedoch aus einer unbekannten Quelle wie dem Internet, ist zunächst von schadhaften Makros auszugehen.

Ein Angreifer kann mithilfe eines speziell erstelltem Office Dokument, eine Schadcode Ausführung auf dem System erreichen. Über die ausgeführten Makros, kann jegliches Schadprogramm nachgeladen werden. Die Gefährdungslage ist also als hoch einzustufen.

Allgemein sollten Makros aufgrund der bereits angesprochenen Sicherheitsrisiken deaktiviert sein. Standardmäßig sind diese durch ein Opt-in Verfahren aktivierbar. Das bedeutet, sobald beispielsweise ein Word Dokument geöffnet wird, welches Makros verwendet, wird eine Leiste angezeigt, die darauf aufmerksam macht, dass für die korrekte Anzeige des Dokuments die Ausführung von Makros aktiviert werden muss. Kriminelle machen sich diese Schaltfläche oft zu eigen, indem sie dem Benutzer einen wichtigen Inhalt, beispielsweise eine Rechnung suggerieren, welcher nach der Ausführung der Makros freigeschaltet wird.

Aus diesem Grund sollten Makros bestenfalls Unternehmensweit deaktiviert sein. In begründeten Ausnahmefällen kann eine Aktivierung erfolgen. Der Benutzer ist, dann jedoch speziell zu schulen oder das betreffende Dokument muss vorher durch die IT-Abteilung überprüft werden. So ist sichergestellt, dass das Dokument keine potenziell schadhaften Inhalte enthält.

Quellen

Skip to content