So schützen Sie sich besser vor Malware aus Office-Dokumenten

Blog Cybersicherheit

85 % aller deutschen Unternehmen nutzen Microsoft Office als Bürosoftware ihrer Wahl. Auch privat werden viele Dokumente mit Word & Co. erstellt, bearbeitet und geteilt. Aber auch Cyberkriminelle nutzen die Office Programme gerne – um Schadsoftware zu verbreiten. Wir verraten Ihnen, wie Sie sich besser dagegen schützen können.

Wie Cyberkriminelle Office-Dokumente missbrauchen können

Office-Dokumente sind beliebte Einfallstore für Cyberkriminelle. Nicht nur aufgrund der weiten Verbreitung der Microsoft-Programme, sondern auch weil aktive Inhalte in Office-Dokumente eingebunden werden können. Diese aktiven Inhalte sind letztlich kleine Programme. Und die können Cyberkriminelle für ihre Zwecke nutzen. Zum Beispiel kann so ein Programm dafür sorgen, dass Schadsoftware aus dem Internet heruntergeladen wird. Einige Unternehmen und Institutionen ergreifen drastische Schutzmaßnahmen gegen solche Angriffsmöglichkeiten. Zum Beispiel löschen sie automatisch alle E-Mails mit angehängten, offenen Office-Dokumenten. Oder alle E-Mails, deren angehängte Office-Dokumente aktive Inhalte enthalten. Dagegen werden PDF-Dokumente als Anhang hingegen zumeist akzeptiert.

So weit gehen die im Folgenden empfohlenen Schutzmaßnahmen nicht. Daher sind immer auch Sie gefragt. Ihr Auge, Ihre Aufmerksamkeit oder auch einfach nur Ihr Bauchgefühl, dass mit einem Dokument oder einem E-Mail-Anhang etwas nicht stimmt, kann große Schäden verhindern. Bleiben Sie also achtsam.

Wichtig: In Unternehmen sind klare Vorgaben für den Umgang mit Office-Dokumenten unverzichtbar. Das gilt ganz besonders für Dokumente aus unternehmens-externen Quellen, wie z. B. Bewerbungen und Rechnungen. Die Expertinnen und Experten von Perseus beraten Sie gerne.

 

Maßnahme 1: Misstrauen Sie allen nicht konkret angekündigten Office-Dokumenten 

Was ist der Idealfall, wenn Sie Schadsoftware in Form eines Office-Dokuments erhalten? Sie erkennen das Dokument als verdächtig und öffnen es nicht. Schon haben Sie den möglichen Angriff im Keim erstickt – Bravo!
Behandeln Sie daher alle bei Ihnen eingehenden Office-Dokumente kritisch. Insbesondere überraschende Rechnungen, Mahnungen oder Auftragsbestätigungen, die per E-Mail eingehen.

 

Maßnahme 2: Mit Administratorenrechten keine Dokumente öffnen 

Was sind Administratorenrechte?

Computer müssen verwaltet, eingerichtet und aktualisiert werden. Dabei sind tiefe Eingriffe in das System notwendig. Wer diese Aufgabe übernimmt, gilt als Administrator (engl. für Verwalter, Überwacher) – und benötigt unbeschränkte Zugriffsrechte auf alle Systeme des Computers. Diese unbeschränkte Zugriffsrechte werden daher auch Administratorenrechte genannt.

Was ist problematisch an Administratorenrechten?

Weil Administratorenrechte unbeschränkten Zugriff auf einen Computer erlauben, kann ihr Missbrauch enorme Schäden anrichten. Es genügt bereits, wenn ein Schadprogramm mit Administratorenrechten ausgeführt wird. Denn dann kann es alle beliebigen Änderungen an Ihrem Computer vornehmen.

Was tun? 

  • Arbeiten Sie grundsätzlich nicht mit Administratorenrechten, sondern in einem Benutzerkonto mit bewusst eingeschränkte Zugriffsrechten.
  • Achten Sie darauf, dass die Konten unterschiedliche Passwörter haben, um Verwechslungen zu vermeiden. Hier finden Sie Anleitung zum Erstellen eines Benutzerkontos auf dem PC unter Windows und auf dem Mac.
  • Öffnen Sie keine Office-Dokumente (und auch keine anderen Dateien) mit Administratorrechten.
    Wenn Sie beim Öffnen eines Office-Dokuments die Meldung erhalten, hierzu seien  Administratorenrechte notwendig, brechen Sie den Vorgang sofort ab. Öffnen Sie das Dokument auf keinen Fall.

Maßnahme 3: Makros deaktivieren

 

Was sind Makros?

Die Bezeichnung Makro kommt aus der Software-Programmierung. Dort sind Makros kleine Unterprogramme, die oft wie Bausteine genutzt werden. Sie beinhalten üblicherweise den Programmcode mehrschrittiger Abläufe – die dann nicht mehr Schritt für Schritt händisch programmiert werden müssen.
Weil das Prinzip so praktisch ist, hat Microsoft es in den Office-Programmen auch für Anwenderinnen und Anwender ohne Programmierkenntnisse nutzbar gemacht. Hier lassen sich mehrschrittige Abläufe einfach aufzeichnen, als Makro speichern und dann beliebig oft wiederholen. Zum Beispiel wenn in einem Dokument an mehreren Stellen das jeweilige Datum angezeigt werden soll. Das entsprechende Makro aktualisiert es automatisch beim Öffnen oder Speichern des Dokuments.

Warum sind Makros problematisch? 

Makros sind kleine Programme, die in einem Office-Dokument enthalten sind und automatisch ausgeführt werden. Im Büroalltag ist das hilfreich, wenn das Makro eine erwünschte Funktion erfüllt – wie zum Beispiel die oben erwähnte Aktualisierung des Datums.

Problematisch wird es, wenn ein Makro von Cyberkriminellen programmiert wurde. Denn dann wird ihr Programm automatisch ausgeführt. Was es tut, hängt von den Zielen der Cyberkriminellen ab. Vielleicht öffnet es nur unzählige neue Dokumente. Oder es lädt Schadprogramme aus dem Internet, die Ihren Rechner verschlüsseln. Praktisch alles, was sich programmieren lässt, ist möglich.

Was tun? 

Üblicherweise müssen Sie nichts tun, denn Makros sind in den Office-Programmen standardmäßig deaktiviert. Das gilt sowohl für PCs als auch für Macs. Wir raten: Gehen Sie auf Nummer sicher und überprüfen Sie, dass Makros bei Ihnen deaktiviert sind.
Hier finden Sie die Anleitung von Microsoft zur Deaktivierung und Aktivierung von Makros für PC und für Mac.

Maßnahme 4: Makros auch nicht manuell aktivieren 

Wie gesagt, Makros sind in aktuellen Office-Programmen standardmäßig deaktiviert. Aber oft können sie manuell aktiviert werden. Wir raten: Tun Sie das nicht! Und wenn Sie dazu aufgefordert werden? Dann halten Sie unbedingt Rücksprache.
Cyberkriminelle gehen z. T. sehr raffiniert vor, um Sie dazu zu bringen, Makros zu aktivieren. So verschickte z. B. der über Jahre hinweg gefürchtete Emotet-Trojaner extrem authentisch wirkende E-Mails, die zumeist einen Office-Anhang enthielten. Im Text der E-Mail wurde ausdrücklich darum gebeten, die Makros in dem angehängten Dokument zu aktivieren. Denn nur dann konnte der in den Dokumenten versteckte Schadcode aktiv werden. Auch wenn die Emotet-Infrastruktur Anfang 2021 zerschlagen wurde, kann diese Angriffstaktik weiterhin genutzt werden. Daher raten wir zu höchster Vorsicht.

 

Maßnahme 5: Auch OLE nicht manuell aktivieren 

Was ist OLE? 

OLE steht bei Microsoft für Object Linking and Embedding, also für das Verlinken oder Einbetten von Objekten. Zu solchen Objekten können z. B. Grafiken, Videos und Tabellen gehören. Wird in einem Word-Dokument z B. auf eine Tabelle verlinkt, kann diese in Excel bearbeitet werden. Wird diese Tabelle in Word hingegen eingebettet, kann sie direkt in Word bearbeitet werden. Damit die eingebetteten Objekte nutzbar sind, muss ein entsprechender Programmcode in das Dokument integriert werden. Für Cyberkriminelle bedeutet das eine Möglichkeit, Schadcodes einzubetten.

Worin besteht die Gefahr?

Von Cyberkriminellen manipulierte OLE-Objekte müssen zumeist angeklickt werden, um aktiv zu werden. Dazu werden verschiedene Tricks eingesetzt. So kann das Objekt zum Beispiel wie ein Feld aussehen, in das sie einen Sicherheitscode eingeben sollen. Oder in der begleitenden E-Mail werden Sie zu entsprechenden Aktionen aufgefordert.

Was tun?

Aktivieren Sie keine eingebetteten Objekte. Sollten Sie genau dazu aufgefordert werden, halten Sie unbedingt Rücksprache.

 

Maßnahme 6: Dokumente in Sandboxes öffnen 

Was ist eine Sandbox? 

Der englische Begriff „Sandbox“ bedeutet übersetzt Sandkasten. In der IT bezeichnet Sandbox einen abgetrennten, isolierten Bereich innerhalb eines Systems. Aktionen oder Programme, die in dieser Sandbox ausgeführt werden, bleiben auf diese begrenzt und wirken sich nicht auf das Gesamtsystem aus. Wird die Sandbox geschlossen, werden ihre gesamten Inhalte gelöscht.

Wo finde ich so eine Sandbox?

In einigen Betriebssystemen sind Sandboxes bereits vorhanden. Auf Macs laufen sogar die meisten Programme in einer eigenen Sandbox, auch neuere Office-Programme.
In Windows 10 Enterprise, Windows 10 Professional oder Windows 10 Education in den Versionen 1809 oder höher sind ebenfalls Sandboxes enthalten. Leider sind sie standardmäßig deaktiviert. Wie Sie sie aktivieren, erfahren Sie z. B. bei Microsoft.
Ist in Ihrem Betriebssystem keine Sandbox integriert, können Sie hierfür ein separates Programm installieren. Viele Viren-Scanner besitzen ebenfalls eine Sandbox.

Da kein Schutz 100%ig ist

Keine Technologie ist unfehlbar, das gilt auch für Sandboxes. Wir empfehlen daher, sie umsichtig zu nutzen und alle oben bereits genannten Maßnahmen stets zusätzlich zu ergreifen.

 

Maßnahme 7: Im Zweifel Profis fragen 

Sie sind Perseus-Mitglied, misstrauen einem Office-Dokument und möchten kein Risiko eingehen? Dann leiten Sie uns das Dokument einfach weiter, wir überprüfen es für Sie.

Sie sind noch kein Perseus-Mitglied? Dann wenden Sie sich an die IT-Abteilung Ihres Unternehmens … und regen Sie außerdem an, dass ein Vorgehen für dem Umgang mit Office-Dokumenten festgelegt wird. Ganz besonders für alle Personen, die mit potenziell kritischen Dokumenten wie z. B. vermeintlichen Bewerbungen oder Rechnungen in Kontakt kommen.

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited