Makros in Office Microsoft öffnet die Büchse der Pandora wieder

Eigentlich wollte der Konzern eines der größten Einfallstore für Hacker in seinen Office-Programmen schließen. Jetzt kommt die Kehrtwende – zum Bedauern von Sicherheitsexperten.
Microsoft Outlook: E-Mails sind ein beliebtes Einfallstor für Schadsoftware

Microsoft Outlook: E-Mails sind ein beliebtes Einfallstor für Schadsoftware

Foto: Thomas Trutschel / imago images/photothek

Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.

Sie sind oft verhasst, in vielen Unternehmen aber offenbar unersetzlich: sogenannte VBA-Makros, mit denen sich Funktionen in Microsoft Office automatisieren lassen. VBA steht für Visual Basic for Applications. Wer etwa Excel-Dateien automatisch auswerten oder firmenspezifische Serienbrieffunktionen aktivieren möchte, kann dazu auf VBA-Makros, auch Skripte genannt, zurückgreifen.

Sie sind einfach zu schreiben, einfach anzuwenden – und damit eine Einladung an Missetäter aller Art, die Rechner von ahnungslosen Opfern zu übernehmen. Schadprogramme wie Emotet oder Trickbot nutzten diese Möglichkeit oft als Eingangstür zu Firmennetzwerken und zur Vorbereitung von Infektionen mit Erpressungstrojanern (Ransomware), indem sie Nutzern beispielsweise eine Excel-Datei mit einem versteckten Zusatzprogramm schickten.

Aus diesem Grund wurde Microsofts Ankündigung vom Februar, VBA-Skripte per Voreinstellung für alle Office-Nutzer zu blockieren, von der Sicherheitsbranche begrüßt. Doch es ging langsamer voran, als viele erwartet hatten. Wie »heise.de« berichtet , konnten Nutzer der Office-Pakete auch im Juli noch Skripte mit einem einfachen Klick auf eine Warnmeldung ausführen. Eigentlich sollten zu diesem Zeitpunkt längst mehrere Klicks in Warndialogen nötig sein, um ein solches Programm auszuführen, wenn es nicht vorher von der eigenen IT-Abteilung als unbedenklich freigeschaltet war.

Eine Rolle zurück

Und jene Nutzer, für die Microsoft die neue Sicherheitsfunktion schon freigeschaltet hatte, protestierten offenbar gegen die nun notwendigen Klickorgien und schwer verständlichen Hilfstexte. Kurzerhand deaktivierte der Konzern die Sicherheitsfunktion wieder. IT-Administratoren erfuhren oft erst nachträglich durch eine Update-Notiz  von dem Kurswechsel, Anwender wurden gar nicht informiert.

In dem Update versichert Microsoft zwar, dass der sogenannte »Rollback« nur temporär sei, geizt aber mit weiteren Details. Man wolle die Sicherheitsfunktion nutzerfreundlicher gestalten, kündigte der IT-Konzern an und bedankte sich für das Feedback seiner Kunden. Wie es weitergehen soll, will Microsoft erst »in den kommenden Wochen« mitteilen.

Viele Sicherheitsexperten zeigen sich durch den nachlässig kommunizierten Kurswechsel vor den Kopf gestoßen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sah in der Entscheidung vom Frühjahr einen »nennenswerten IT-Sicherheitsgewinn«, wie die Behörde dem SPIEGEL erklärt. Das Einfallstor pauschal zu schließen, mache insbesondere breitflächige Angriffe schwieriger. Daher bedauere die Behörde den jüngsten Kurswechsel.

Offenbar hatten sich auch schon Angreifer auf Microsofts Sicherheitsinitiative eingestellt. So verzeichnete das BSI ab April einen Wandel bei den verbreiteten Angriffsmethoden. Statt Excel-Dateien mit manipulierten VBA-Skripten sandten Ransomware-Gangster lieber sogenannte LNK-Dateien, bei denen die Nutzer direkt zu einem externen Webserver umgeleitet werden, von dem sie Schadprogramme wie Emotet installieren sollen. Auch andere Methoden gewannen an Bedeutung: So verschickten die Angreifer Bilddateien mit integriertem Schadcode oder auch ISO-Dateien. Ob diese Methoden aber genauso erfolgreich waren wie die Office-Skripte, konnte das Bundesamt noch nicht feststellen, da die Malware-Kampagnen oft erst über Monate ihre Wirkung entfalten.

Die Wiedergabe wurde unterbrochen.