Schutz vor Emotet: Besserer Umgang mit Office Dokumenten

Cyberkriminelle nutzen seit vielen Jahren, wie auch aktuell in Erpressungstrojanern wie Emotet, bevorzugt Microsoft Office Dokumente. In den meisten F├Ąllen werden DOC Dateien (Word Dokumente) an die Opfer versendet und deren Computer hier├╝ber infiziert. Nach dem ├ľffnen des Dokuments wird der Anwender oftmals zu einer Aktion aufgefordert und darauf hingewiesen, dass er die Bearbeitung aktivieren muss, um das Dokument richtig lesen oder bearbeiten zu k├Ânnen.

Das Bundesamt f├╝r Sicherheit in der Informationstechnik (BSI) hat im Mai 2019 eine Empfehlung ÔÇ×Sichere Konfiguration von Microsoft Office 2013/2016/2019ÔÇť herausgegeben.

Cyberkriminelle nutzen seit vielen Jahren, wie auch aktuell in Erpressungstrojanern wie Emotet, bevorzugt Microsoft Office Dokumente. In den meisten F├Ąllen werden DOC Dateien (Word Dokumente) an die Opfer versendet und deren Computer hier├╝ber infiziert. Nach dem ├ľffnen des Dokuments wird der Anwender oftmals zu einer Aktion aufgefordert und darauf hingewiesen, dass er die Bearbeitung aktivieren muss, um das Dokument richtig lesen oder bearbeiten zu k├Ânnen.

Dadurch wird das im Dokument enthaltene Makro gestartet, welches dann auf dem System abl├Ąuft und weitere Aktionen (z.B. weiteren Programmcode) nachl├Ądt, oder die Verschl├╝sselung von Dateien startet. Als Folge wird das komplette Erpressungsprogramm abgespult, welches die betroffenen Firmen bis zum Ruin f├╝hren kann.

Wie l├Ąsst es sich davor sch├╝tzen
Man kann mit wenigen Einstellungen sein Office absichern, indem man Makros deaktiviert und somit daf├╝r sorgt, dass der schadhafte Code nicht ausgef├╝hrt werden kann. Dieses geschieht bei den Office Programmen im Trust Center. Dort kann man unter dem Men├╝punkt ÔÇ×Einstellungen f├╝r das Trust CenterÔÇť die ÔÇ×MakroeinstellungenÔÇť anpassen und zum Beispiel den Wert auf ÔÇ×Alle Makros mit Benachrichtigungen deaktivierenÔÇť setzen. Eventuell funktionieren einzelne Dokumente danach nicht mehr. In vielen Standarddokumenten, den zuvor genannten DOC Dateien, werden in den meisten F├Ąllen vielleicht aber auch gar keine Makros ben├Âtigt. Falls doch, sollten sich Unternehmen Gedanken ├╝ber einen alternativen Weg des Datenaustausches machen. Dieser sollte dann nicht unbedingt per E-Mail erfolgen.

Viele Firmen unterbinden bereits den Empfang von Office Dateien und filtern derartige Anh├Ąnge aus, was ebenfalls daf├╝r sorgt, dass diese nicht in das E-Mail Programm und damit zum Anwender gelangen.

Moderne Firewall Systeme oder Virenscanner sind in der Lage, derartige Angriffe zu erkennen und zu isolieren.

├ťberpr├╝fen und testen Sie
Im Heise E-Mailcheck k├Ânnen ├ťberpr├╝fungen vorgenommen werden, welche E-Mails zugelassen und welche abgelehnt werden. Ebenfalls wird in einem harmlosen Word Dokument der Ablauf simuliert. In dem Fall gibt es beim Testen des Dokumentes nur einen harmlosen Hinweis, dass das Makro ausgef├╝hrt wurde. Bei einer Ransomware w├╝rden in dem Moment aber vermutlich b├Âsartige Aktionen im Hintergrund ablaufen.

Das Dokument vom BSI beschreibt ausführlich die vorgesehenen Einstellungen in den Microsoft Office Versionen 2013/2016/2019. Ältere Versionen sollten nicht mehr eingesetzt werden, da hierfür keine Patches und Updates mehr bereitgestellt werden. Eventuelle Sicherheitslücken in diesen Systemen bleiben somit ungepatcht.

Die Empfehlung bezieht sich auf eine zentrale Verwaltung der Richtlinien in einer Active Directory-Umgebung. Die 117 dort beschriebenen Computer- und Benutzerrichtlinien beziehen sich jedoch zun├Ąchst nur auf Richtlinien von Microsoft Office, die sicherheitsrelevant sind. Diese werden durch weitere Richtlinien, welche zus├Ątzlich f├╝r die einzelnen Office Anwendungen (Word, Excel, Outlook, usw.) gesetzt werden k├Ânnen, erg├Ąnzt. 

Sch├╝tzen Sie Ihre Systeme
Empfehlung ist die Umsetzung und Anpassung aller Richtlinien. Die allgemeine des Microsoft Office sowie erg├Ąnzend die der einzelnen Microsoft Office Anwendungen.

Fazit: Nat├╝rlich bleibt immer ein Restrisiko. Die Konfiguration der Richtlinien hilft Ihnen jedoch dabei, f├╝r die Anwendungen die Angriffsfl├Ąche so weit wie m├Âglich zu verringern und die Sicherheit m├Âglichst zu erh├Âhen. Entscheidend ist auch, dass sich nicht alle Verhaltensweisen durch Gruppenrichtlinien konfigurieren lassen. Beispielsweise l├Ąsst sich die ├ťbertragung von sensiblen Daten an Microsoft durch die Telemetrie nicht konfigurieren. Auch das Verhalten der Anwender l├Ąsst sich durch die Konfiguration von Gruppenrichtlinien nicht ver├Ąndern. Man kann nur die kritischen Optionen sperren und durch entsprechende Sensibilisierungs- und Schulungsma├čnahmen dem Anwender vermitteln, worauf er achten muss und wo sich die Gefahren verbergen k├Ânnen.

Verfasser: Peter L├╝cking