Makroviren: Die eingebettete Gefahr

Sie schienen in der Zwischenzeit nahezu ausgestorben, nachdem Microsoft das Ausführen von Makros in seinen hauptsächlich betroffenen Office-Produkten standardmäßig deaktivierte. Zeitgleich erfolgte eine entsprechende Sensibilisierung der Anwender. Die Maßnahmen zeigten Wirkung und Verantwortliche gingen davon aus, das Problem im Griff zu haben.

Mit dem Aufkommen des sogenannten "Social Hackings" erlebten Makroviren eine unerwartete Rückkehr. Da die Funktionalität der Makro-Programmierung in Anwendungen wie Microsoft Office grundsätzlich natürlich nützlich ist, wurde sie nie komplett verbannt. Man konnte diese bei Bedarf immer noch manuell aktivieren. Den Umstand machen sich Kriminelle zunutze. Sie nehmen Kontakt zu Anwendern auf und versuchen, diese zum Zulassen der Makros zu bewegen. Dazu denken sie sich eine entsprechende Legende aus, etwa die Aufforderung eines Vorgesetzten, dass ein vermeintlich dringendes Dokument umgehend zu bearbeiten sei.

Warum Makroviren so gefährlich sind

Das Problem an Makroviren ist, dass sie unbemerkt im Hintergrund agieren. Mit dem Öffnen eines Word-Dokuments oder einer Excel-Tabelle und dem Zulassen von Makros, können vollständige Skripte ausgeführt werden. Microsoft hat eine Schnittstelle in seine Office-Anwendungen eingebaut, die das Einbinden von in "Visual Basic for Applications" (VBA) erstellten Programmen erlaubt. Hierdurch ist eine hohe Flexibilität gegeben. Felder von Tabellen stehen etwa als Objekte zur Verfügung, die sich einzeln ansprechen und bearbeiten lassen. Ebenso ist es möglich, Inhalte externer Dateien formatiert zu importieren. Auch eine anwendungsübergreifende Verwendung haben die Entwickler vorgesehen.

Diese weitreichenden Rechte stellen bei einem Missbrauch natürlich eine Gefahr dar. Kriminelle können mit einem schadhaften Makroprogramm etwa Outlook-Adressbücher auslesen und E-Mails an hinterlegte Kontakte senden. Dies entsprechend mit der Absenderadresse vom eingeloggten Nutzer. Hiermit lässt sich die verhängnisvolle Kette einer Ransomware-Infektion in Gang setzen. Gleichzeitig wird die Herkunft verschleiert, da sich nicht unmittelbar ein schädigendes Ereignis anschließen muss.

Ein beispielhafter Ablauf könnte wie folgt aussehen:

1. Bei der Assistenz der Geschäftsleitung geht der Anruf eines langjährigen Kunden ein. Dieser habe gerade die Steuerfahndung im Haus und benötige dringend eine unterschriebene Bescheinigung über ein vorangegangenes Geschäft. Als Kontaktperson benennt der Anrufer einen angeblichen Anwalt. Dieser werde das Dokument per E-Mail übersenden.
2. Beim Öffnen des Dokuments stellt der Mitarbeiter fest, dass die Aktivierung von Makros verlangt wird. Eine Rücksprache mit dem vermeintlichen Rechtsanwalt ergibt, dass dies ein bekanntes Problem sei. Die Steuerfahndung verwende leider veraltete Dokumentvorlagen. Der Anwalt bittet eindringlich um die unkomplizierte und schnelle Behandlung.
3. Da es sich um einen wichtigen Kunden handelt, kommt der Mitarbeiter der Bitte nach und bearbeitet das Dokument.
4. Im Hintergrund versendet sich eine weitere Mail an alle Abteilungen des Unternehmens, im Anhang befindet sich ein nachgeladenes, angeblich wichtiges Dokument, welches kurzfristig zu bearbeiten sei. Auch in diesem Dokument müssen temporär Makros aktiviert werden.
5. Der Datenbestand jeder Abteilung, die dieser Aufforderung nachkommt, wird per heruntergeladener Schadsoftware verschlüsselt.
   In einer vergleichbaren Form sind unzählige Unternehmen aller Größen Opfer von Erpressungen durch Trojaner wie Emotet geworden. Die Schadenshöhe geht in die Milliarden.

Makroviren in der Virenkunde

Natürlich sind Makroviren kein exklusives Problem in der Office-Welt. Sie sind nur insbesondere aufgrund der nahezu monopolartigen Verbreitung von Microsoft Office im geschäftlichen Bereich sehr häufig in diesem Kontext aufgetreten. Grundsätzlich handelt es sich bei der Art von Schadsoftware um solche, die eine interne Automatisierungsfunktion von Software ausnutzt. Geeignet sind dabei besonders solche Programme, die eine dokumentierte Schnittstelle zur Nutzung einer Skriptsprache aufweisen. Die Schadsoftware wird dabei als verstecktes Unterprogramm mit einer Datei verbreitet. Beim Öffnen der präparierten Datei mittels der dafür vorgesehen Software erfolgt eine automatische Ausführung des schadhaften Inhalts.

Der Umgang mit Makros in Microsoft Office

In neueren Dokumenten mit der verbreiteten Endung "xlsx" für Excel-Tabellen und Word-Dateien mit der Endung "docx" lassen sich keine Makros ausführen. Hierzu müssen die Dateien explizit in einem gesonderten Format abgespeichert werden, etwa "xlsm" für Tabellen und "docm" bei Textdokumenten. Ein nachträgliches Ändern der Endung wird durch die Office-Anwendungen bemerkt und das Öffnen eines solchen Dokuments verweigert.

Um Makros anlegen zu können, muss der Anwender sich in den Optionen die sogenannten Entwicklertools aktivieren. Im entsprechenden Menü kann danach auf zwei Wegen ein Makro erstellt werden. Die einfachere Form ist das Aufzeichnen. Auf diese Weise können beispielsweise mehrere manuelle Arbeitsschritte an einem Dokument abgespeichert und später erneut abgerufen werden. Die mächtigere Funktion ist die bereits erwähnte Programmierschnittstelle für VBA. Mit dem Bedienfeld "Visual Basic" öffnet sich ein entsprechender Editor, in dem der Nutzer umfangreiche Programme erstellen kann. Diese sind in der Lage, nahezu alle mit den Rechten des aktuellen Nutzers möglichen Aktionen auszuführen.
Beim erstmaligen Öffnen eines Dokuments mit eingebetteten Makros erfolgt in neueren Office-Versionen eine Sicherheitsabfrage. Das Ausführen wird zunächst gestoppt und kann manuell zugelassen werden. Nach einer einmaligen Genehmigung erscheint in der Zukunft keine weitere Warnung.

Schutzmaßnahmen im Umgang mit Makros

Die gute Nachricht ist, dass Verantwortliche gute Möglichkeiten haben, ihre Unternehmen vor Makroviren in Office-Dokumenten zu schützen. Am einfachsten geht dies per Gruppenrichtlinie. Wenn durch den Administrator Makros komplett deaktiviert sind, so erscheint im sogenannten Trust-Center auch nicht mehr die Möglichkeit für den Nutzer, diese manuell zu erlauben. Durch den Fachverlag Heise wird allerdings darauf hingewiesen, dass in bestimmten Editionen von "Office 365" diese Gruppenrichtlinien keine Wirkung zeigten. Daher sollte in jedem Einzelfall überprüft werden, ob die gewünschten Einstellungen greifen.

Schwieriger wird es natürlich, wenn Makros im Unternehmensalltag benötigt werden. Abhilfe kann das Signieren von eigenen Makros sein. Hierbei bekommt das Unterprogramm ein Zertifikat, welches den korrekten Herausgeber ausweist. Per Richtlinie kann ebenfalls vorgegeben werden, dass nur signierte Makros ausführbar sind.

Am wichtigsten ist allerdings die Aufklärung eigener Mitarbeiter. Das Öffnen unbekannter Dokumente und insbesondere das Aktivieren von Makros ist potenziell vergleichbar mit dem Ausführen einer beliebigen Software aus dem Internet. Unterstützend sollte überall, wo es möglich ist, auf das Versenden von Office-Dokumenten als Anlagen verzichtet werden.

Ergänzend ist das Etablieren einer Unternehmenskultur sinnvoll, in der das Hinterfragen von möglicherweise kritischen Prozessen positiv bewertet wird. Viele bekannt gewordene Ransomware-Fälle, aber auch diverse Phishing-Attacken, wären mit einer kurzen telefonischen Rückfrage zu verhindern gewesen.