Schutz vor Emotet: Besserer Umgang mit Office Dokumenten

Datenschutz Datensicherheit

Cyberkriminelle nutzen seit vielen Jahren, wie auch aktuell in Erpressungstrojanern wie Emotet, bevorzugt Microsoft Office Dokumente. In den meisten Fällen werden DOC Dateien (Word Dokumente) an die Opfer versendet und deren Computer hierüber infiziert. Nach dem Öffnen des Dokuments wird der Anwender oftmals zu einer Aktion aufgefordert und darauf hingewiesen, dass er die Bearbeitung aktivieren muss, um das Dokument richtig lesen oder bearbeiten zu können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Mai 2019 eine Empfehlung „Sichere Konfiguration von Microsoft Office 2013/2016/2019“ herausgegeben.

Cyberkriminelle nutzen seit vielen Jahren, wie auch aktuell in Erpressungstrojanern wie Emotet, bevorzugt Microsoft Office Dokumente. In den meisten Fällen werden DOC Dateien (Word Dokumente) an die Opfer versendet und deren Computer hierüber infiziert. Nach dem Öffnen des Dokuments wird der Anwender oftmals zu einer Aktion aufgefordert und darauf hingewiesen, dass er die Bearbeitung aktivieren muss, um das Dokument richtig lesen oder bearbeiten zu können.

Dadurch wird das im Dokument enthaltene Makro gestartet, welches dann auf dem System abläuft und weitere Aktionen (z.B. weiteren Programmcode) nachlädt, oder die Verschlüsselung von Dateien startet. Als Folge wird das komplette Erpressungsprogramm abgespult, welches die betroffenen Firmen bis zum Ruin führen kann.

Wie lässt es sich davor schützen
Man kann mit wenigen Einstellungen sein Office absichern, indem man Makros deaktiviert und somit dafür sorgt, dass der schadhafte Code nicht ausgeführt werden kann. Dieses geschieht bei den Office Programmen im Trust Center. Dort kann man unter dem Menüpunkt „Einstellungen für das Trust Center“ die „Makroeinstellungen“ anpassen und zum Beispiel den Wert auf „Alle Makros mit Benachrichtigungen deaktivieren“ setzen. Eventuell funktionieren einzelne Dokumente danach nicht mehr. In vielen Standarddokumenten, den zuvor genannten DOC Dateien, werden in den meisten Fällen vielleicht aber auch gar keine Makros benötigt. Falls doch, sollten sich Unternehmen Gedanken über einen alternativen Weg des Datenaustausches machen. Dieser sollte dann nicht unbedingt per E-Mail erfolgen.

Viele Firmen unterbinden bereits den Empfang von Office Dateien und filtern derartige Anhänge aus, was ebenfalls dafür sorgt, dass diese nicht in das E-Mail Programm und damit zum Anwender gelangen.

Moderne Firewall Systeme oder Virenscanner sind in der Lage, derartige Angriffe zu erkennen und zu isolieren.

Überprüfen und testen Sie
Im Heise E-Mailcheck können Überprüfungen vorgenommen werden, welche E-Mails zugelassen und welche abgelehnt werden. Ebenfalls wird in einem harmlosen Word Dokument der Ablauf simuliert. In dem Fall gibt es beim Testen des Dokumentes nur einen harmlosen Hinweis, dass das Makro ausgeführt wurde. Bei einer Ransomware würden in dem Moment aber vermutlich bösartige Aktionen im Hintergrund ablaufen.

Das Dokument vom BSI beschreibt ausführlich die vorgesehenen Einstellungen in den Microsoft Office Versionen 2013/2016/2019. Ältere Versionen sollten nicht mehr eingesetzt werden, da hierfür keine Patches und Updates mehr bereitgestellt werden. Eventuelle Sicherheitslücken in diesen Systemen bleiben somit ungepatcht.

Die Empfehlung bezieht sich auf eine zentrale Verwaltung der Richtlinien in einer Active Directory-Umgebung. Die 117 dort beschriebenen Computer- und Benutzerrichtlinien beziehen sich jedoch zunächst nur auf Richtlinien von Microsoft Office, die sicherheitsrelevant sind. Diese werden durch weitere Richtlinien, welche zusätzlich für die einzelnen Office Anwendungen (Word, Excel, Outlook, usw.) gesetzt werden können, ergänzt. 

Schützen Sie Ihre Systeme
Empfehlung ist die Umsetzung und Anpassung aller Richtlinien. Die allgemeine des Microsoft Office sowie ergänzend die der einzelnen Microsoft Office Anwendungen.

Fazit: Natürlich bleibt immer ein Restrisiko. Die Konfiguration der Richtlinien hilft Ihnen jedoch dabei, für die Anwendungen die Angriffsfläche so weit wie möglich zu verringern und die Sicherheit möglichst zu erhöhen. Entscheidend ist auch, dass sich nicht alle Verhaltensweisen durch Gruppenrichtlinien konfigurieren lassen. Beispielsweise lässt sich die Übertragung von sensiblen Daten an Microsoft durch die Telemetrie nicht konfigurieren. Auch das Verhalten der Anwender lässt sich durch die Konfiguration von Gruppenrichtlinien nicht verändern. Man kann nur die kritischen Optionen sperren und durch entsprechende Sensibilisierungs- und Schulungsmaßnahmen dem Anwender vermitteln, worauf er achten muss und wo sich die Gefahren verbergen können.


Haben Sie Fragen zu dem Thema und wünschen eine Beratung?

Kontaktieren Sie uns gerne über unser Kontaktformular oder direkt per E-Mail. Wir sind auch telefonisch unter +49 5232 980-4700 für Sie erreichbar.

Wir freuen uns auf Ihre Fragen.