Office-Makros: Doch keine Änderung - und Microsoft schweigt

11.07.2022
G DATA Blog

Office-Makros sind eines der beliebtesten Einfallstore für Schadsoftware aller Art. Microsoft hatte im Februar angekündigt, ab April/Mai die Standardeinstellungen für Makros in Office-Dokumenten zu ändern – auf „blockiert“. Doch nun hat das Redmonder Unternehmen die Änderung still zurückgenommen. Die Gründe dafür sind schleierhaft.

Sicherheitsexperten in aller Welt dürften aufgeatmet haben, als Microsoft ankündigte, Makros in Office-Dateien künftig zu blockieren. Grund dazu gibt es genug, sind Makros doch einer der am häufigsten genutzten Wege, um Malware auf Systeme zu platzieren. Bis dahin wurde lediglich eine Warnung angezeigt. Nutzende hatten aber die Möglichkeit, diese mit einem Klick zu umgehen und so die Makros dennoch auszuführen, was sie auch in den meisten Fällen getan haben dürften. Die Auswirkungen sind bekannt und bedürfen hier keiner weiteren Erklärung.  

Warum Makros überhaupt zulassen?

Gerade im privaten Bereich gibt es nur sehr wenige Anwendungsbereiche, für die zwingend Office-Makros benötigt werden. Die einzigen Fälle, in denen die Mehrheit der Heimanwender*innen mit Makros in Kontakt kommen dürften, sind eben solche Mails, die angeblich alles von Rechnungen über Lieferscheine bis zu Anwaltsschreiben enthalten ist und die nur den Zweck haben, Schadsoftware auf das System zu schmuggeln. Und Kriminelle verstehen sich gut darauf, Bedenken hinsichtlich der Legitimität ihres Anliegens (ganz schnell das angehängte Dokument zu öffnen) zu zerstreuen. Hier liegt das Problem. 

Wir sollten allerdings auch nicht verschweigen, dass gerade Unternehmen in manchen Fällen auf den Einsatz von Office-Dokumenten angewiesen sind, die Makros enthalten. Über die Gründe dafür lässt sich sicher streiten, aber das ist nicht das Ziel dieses Artikels. Fakt ist, dass eine Deaktivierung von Makros ab Werk hier einen gewissen Einfluss auf das Tagesgeschäft hat. Allerdings gibt es die Möglichkeit, hier Ausnahmen zu schaffen – etwa für signierte Makros, deren Ursprung verifiziert ist. Diese könnten dann ohne Einschränkungen weiter genutzt werden, während unsignierte Makros, etwa in Dateianhängen von E-Mails, weiterhin blockiert werden.  

Für die Umsetzung von Maßnahmen zur Signierung von Makros ist natürlich ein bisschen Vorarbeit erforderlich, in Form einer entsprechenden PKI-Infrastruktur. Das ist gerade in Großbetrieben keine „Zwei-Mausklick-Lösung“, die in einer halben Stunde erledigt ist. Dass auch die Einrichtung entsprechender Gruppenrichtlinien (GPOs) im Active Directory des Unternehmens bestenfalls in der Theorie eine solche Zwei-Mausklick-Angelegenheit ist, dürfte auch klar sein – gerade in größeren AD-Umgebungen gestaltet sich der Umgang mit GPOs nicht immer einfach.  

Kommunikation: Mangelhaft

Microsoft hat nun die Änderung der Standardeinstellungen für Makros wieder zurückgenommen, angeblich als Reaktion auf „Rückmeldungen“. Das ist erst einmal in Ordnung, wenn auch in diesem Fall über die Maßen enttäuschend. Was allerdings bei sehr vielen Sicherheitsexperten und Journalisten einen mehr als üblen Beigeschmack hinterlassen hat, ist die Tatsache, dass Microsoft diese Maßnahmen nicht kommuniziert hat. Eine solch sicherheitskritische Einstellung, auf die sich viele Nutzer und auch Unternehmen verlassen haben, ohne entsprechende Information an die Betroffenen zu ändern, zeugt nicht unbedingt davon, dass Microsoft sich der Tragweite dieser Entscheidung bewusst ist. Vermutlich sind sie die Verantwortlichen bei Microsoft aber dessen durchaus bewusst. Aber dem Anschein nach haben es einige Bedürfnisträger geschafft, diese Änderung einfach „durchzudrücken“ – letztendlich zum Nachteil aller und zugunsten einer vermutlich eher überschaubaren Gruppe von Unternehmen, denen die neue, sicherere Einstellung aus ihren eigenen Gründen nicht gepasst hat. Das ist in etwa so, als würde ein Autohersteller in einem Softwarepatch Dinge wie etwa das ABS oder den Spurhalteassistenten deaktivieren, ohne dies der Kundschaft mitzuteilen. Es ist absolut unverantwortlich. Einziger schwacher Trost: Immerhin heißt es von Microsoft, dass man "innerhalb der nächsten Wochen" mit einem neuen Versuch rechnen könne.

Doch statt auf Anfragen nach den Gründen zu antworten, hüllt sich Microsoft in Schweigen – was natürlich auch ein Signal aussendet. Denn keine Aussage ist eben doch eine Aussage.
 

Zurück auf „Los“

Unter dem Strich bleibt Betroffenen nur, selbst zu prüfen, welche Einstellungen gerade gesetzt sind. Dort wo Makros nicht benötigt werden, sollten sie auch nicht zugelassen sein. Diese Optionwar immer vorhanden und wird auch von Microsoft explizit empfohlen. Hier sollten IT-Verantwortliche Rücksprache mit den Mitarbeitenden und den jeweiligen Teamleitungen halten, um unangenehme Überraschungen zu vermeiden.  

Tim Berghoff
Security Evangelist