DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Nach alten Sicher­heits­lücken — nun wieder Makro­viren

Makroviren

Was ist nochmal ein Walkman? Genau so werden die jün­geren Leser reagieren, wenn in 2015 von einer Renais­sance der Makro­viren gesprochen wird.

 

Es ist wie bei einer Masern- oder Kin­­der­­lähmung-Impfung — man muss nur lange genug warten, bis sich der Schleier des Ver­gessens über das Wissen zu den Mecha­nismen der Infektion und deren Aus­wir­kungen gelegt hat. „Makro-Malware ist ein gutes Bei­spiel dafür, dass sich die Autoren und Ver­teiler von Malware an die zuneh­menden Sicher­heits­maß­nahmen anpassen und ältere Tricks, die Nutzer bereits ver­gessen haben könnten, für andere Zwecke ver­wenden.

Anfang des Jahres wurden bei­spiels­weise Rech­nungen per E‑Mail ver­sendet. Das Attachment bestand tat­sächlich „nur“ aus einem Word-Dokument. „Nur“, da es seit Jahren eine Reihe kri­ti­scher Datei­endungen gibt, die für den Transport von Viren bekannt und berüchtigt sind. Die Mail selbst besitzt alle Ele­mente einer seriösen E‑Mail, so dass diese eben­falls als unauf­fällig gelten kann. Beim Öffnen des Doku­ments kommt bes­ten­falls – und heute nicht unüblich – ein Hinweis auf die Bear­beit­barkeit des Doku­mentes. Der meist achtlos weg­ge­klickt wird. Und schon ist der unliebsame Gast auf dem PC.

Makro, Makro­virus

Was ist nun ein Makro? Es gab eine Zeit, da wurden in Office-Pro­­­dukten Folgen von Tas­ta­tur­an­schlägen, Shortcuts oder ganze Arbeits­ab­läufe mittels Pro­grammcode auto­ma­ti­siert. Makros sind dabei eigen­ständige Pro­gramme, die in einem Dokument ein­ge­bettet sind.

Ein wesent­licher Unter­schied zu anderen Viren­typen ist die Tat­sache, dass ein Makro­virus lediglich von der Wirts-App­li­­kation, nicht aber vom jewei­ligen Betriebs­system des Com­puters abhängig ist.

Natürlich hat Microsoft schon lange darauf reagiert: „Durch die Ein­führung der neuen XML-basie­­renden MS Office-Formate ab 2007 können Makros nicht mehr in Dateien mit den Suf­fixen XLSX, DOCX, PPTX, etc. auf­ge­führt werden. Die Doku­mente, die Makros ent­halten können, tragen ein “M” statt ein “X” im Suffix und sind wei­terhin durch ein deutlich sicht­bares Aus­ru­fe­zeichen im Datei­symbol erkennbar. Zudem ist die Aus­führung von Makros nach der Erst­in­stal­lation von MS Office deak­ti­viert und muss manuell akti­viert werden.

Sicher­heits­lücke Mensch

Nun ver­wenden jedoch noch genügend Anwender das Betriebs­system Win XP oder Office 2003. Da ist es nahe­liegend auch wieder auf alte Angriffs­muster zurück­zu­greifen: Weder ist das Betriebs­system sicher noch schützt diese Office-Version vor der Aus­führung von Makros.

Die gerne ver­wendete Emp­fehlung nur auf „ver­trau­ens­würdige Quellen“ zu ver­wenden ist da wenig hilf­reich – Absender ohne Zer­ti­fikat (Signatur) können ganz einfach mani­pu­liert werden.

Aber auch, wer sich durch ein aktu­elles Betriebs­system oder ein aktu­elles Office sicher wähnt, ist gefährdet, wenn der Anwender ver­traute Ver­hal­tens­muster bei­behält:

Werden Doku­mente aus einer nicht als ver­trau­ens­würdig gekenn­zeich­neten Quelle geladen, also z.B. aus dem Internet/E‑Mail, „bekommt man meist den Hinweis “Geschützte Ansicht”. Ein­träge in den Feldern funk­tio­nieren dann nur, wenn man “Bear­beitung akti­vieren” anklickt. Das sollten Nutzer bei Office-Doku­­menten nicht mehr völlig arglos tun, warnt das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik.

Öffnet ein Nutzer diese Dateien mit akti­vierten Macros, wird Schadcode aus­ge­führt, der weitere bös­artige Dateien aus dem Netz nachlädt. Sind Macros deak­ti­viert, weist Office stan­dard­mäßig auf diese Tat­sache hin, wenn ein ent­spre­chendes Dokument geöffnet wird. Das umgehen die Angreifer aller­dings, indem sie den Opfern vor­gaukeln, das Dokument sei mit einer “neueren Version von Office” erstellt worden und die Nutzer müssten Macros akti­vieren, um es korrekt anzu­zeigen. Wie man das macht, erklären sie pas­sen­der­weise direkt in dem Dokument.

Sicheres Vor­gehen:

Ver­lassen Sie sich nicht blind auf den Viren­scanner. Täglich werden mehrere Hun­dert­tau­sende neuer Viren geschrieben, so dass dieser auch neue Makro-Viren nicht erkennen muss: Lassen Sie sich also Zeit mit dem Öffnen. Bereits einen Tag später werden die meisten Viren erkannt.

Ver­wenden Sie aktuelle Pro­gramme, die die Aus­führung von Makros stan­dard­mäßig unter­binden.

Kon­fi­gu­rieren Sie Ihr Netzwerk so, dass aktive Inhalte nicht oder nicht auto­ma­tisch aus­ge­führt werden.

Klicken Sie beim Öffnen nicht auf „Bear­beitung akti­vieren“ oder „Makro aus­führen“ oder ähn­liches. Für die Dar­stellung des Inhaltes ist dies nicht erfor­derlich.

Seien Sie kri­tisch, wenn ein Dokument nicht ohne Akti­vierung ein­ge­sehen werden kann.

Bild: ©  Olivier Le Moal / Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.