Alltägliche Hinweise | Cybersicherheit | Microsoft Office
85 % aller deutschen Unternehmen nutzen Microsoft Office als Bürosoftware ihrer Wahl. Auch privat werden viele Dokumente mit Word & Co. erstellt, bearbeitet und geteilt. Aber auch Cyberkriminelle nutzen die Office Programme gerne – um Schadsoftware zu verbreiten. Wir verraten Ihnen, wie Sie sich besser dagegen schützen können.
Office-Dokumente sind beliebte Einfallstore für Cyberkriminelle. Nicht nur aufgrund der weiten Verbreitung der Microsoft-Programme, sondern auch weil aktive Inhalte in Office-Dokumente eingebunden werden können. Diese aktiven Inhalte sind letztlich kleine Programme. Und die können Cyberkriminelle für ihre Zwecke nutzen. Zum Beispiel kann so ein Programm dafür sorgen, dass Schadsoftware aus dem Internet heruntergeladen wird. Einige Unternehmen und Institutionen ergreifen drastische Schutzmaßnahmen gegen solche Angriffsmöglichkeiten. Zum Beispiel löschen sie automatisch alle E-Mails mit angehängten, offenen Office-Dokumenten. Oder alle E-Mails, deren angehängte Office-Dokumente aktive Inhalte enthalten. Dagegen werden PDF-Dokumente als Anhang hingegen zumeist akzeptiert.
So weit gehen die im Folgenden empfohlenen Schutzmaßnahmen nicht. Daher sind immer auch Sie gefragt. Ihr Auge, Ihre Aufmerksamkeit oder auch einfach nur Ihr Bauchgefühl, dass mit einem Dokument oder einem E-Mail-Anhang etwas nicht stimmt, kann große Schäden verhindern. Bleiben Sie also achtsam.
Wichtig: In Unternehmen sind klare Vorgaben für den Umgang mit Office-Dokumenten unverzichtbar. Das gilt ganz besonders für Dokumente aus unternehmens-externen Quellen, wie z. B. Bewerbungen und Rechnungen. Die Expertinnen und Experten von Perseus beraten Sie gerne.
Was ist der Idealfall, wenn Sie Schadsoftware in Form eines Office-Dokuments erhalten? Sie erkennen das Dokument als verdächtig und öffnen es nicht. Schon haben Sie den möglichen Angriff im Keim erstickt – Bravo!
Behandeln Sie daher alle bei Ihnen eingehenden Office-Dokumente kritisch. Insbesondere überraschende Rechnungen, Mahnungen oder Auftragsbestätigungen, die per E-Mail eingehen.
Was sind Administratorenrechte?
Computer müssen verwaltet, eingerichtet und aktualisiert werden. Dabei sind tiefe Eingriffe in das System notwendig. Wer diese Aufgabe übernimmt, gilt als Administrator (engl. für Verwalter, Überwacher) – und benötigt unbeschränkte Zugriffsrechte auf alle Systeme des Computers. Diese unbeschränkte Zugriffsrechte werden daher auch Administratorenrechte genannt.
Was ist problematisch an Administratorenrechten?
Weil Administratorenrechte unbeschränkten Zugriff auf einen Computer erlauben, kann ihr Missbrauch enorme Schäden anrichten. Es genügt bereits, wenn ein Schadprogramm mit Administratorenrechten ausgeführt wird. Denn dann kann es alle beliebigen Änderungen an Ihrem Computer vornehmen.
Was tun?
Was sind Makros?
Die Bezeichnung Makro kommt aus der Software-Programmierung. Dort sind Makros kleine Unterprogramme, die oft wie Bausteine genutzt werden. Sie beinhalten üblicherweise den Programmcode mehrschrittiger Abläufe – die dann nicht mehr Schritt für Schritt händisch programmiert werden müssen.
Weil das Prinzip so praktisch ist, hat Microsoft es in den Office-Programmen auch für Anwenderinnen und Anwender ohne Programmierkenntnisse nutzbar gemacht. Hier lassen sich mehrschrittige Abläufe einfach aufzeichnen, als Makro speichern und dann beliebig oft wiederholen. Zum Beispiel wenn in einem Dokument an mehreren Stellen das jeweilige Datum angezeigt werden soll. Das entsprechende Makro aktualisiert es automatisch beim Öffnen oder Speichern des Dokuments.
Warum sind Makros problematisch?
Makros sind kleine Programme, die in einem Office-Dokument enthalten sind und automatisch ausgeführt werden. Im Büroalltag ist das hilfreich, wenn das Makro eine erwünschte Funktion erfüllt – wie zum Beispiel die oben erwähnte Aktualisierung des Datums.
Problematisch wird es, wenn ein Makro von Cyberkriminellen programmiert wurde. Denn dann wird ihr Programm automatisch ausgeführt. Was es tut, hängt von den Zielen der Cyberkriminellen ab. Vielleicht öffnet es nur unzählige neue Dokumente. Oder es lädt Schadprogramme aus dem Internet, die Ihren Rechner verschlüsseln. Praktisch alles, was sich programmieren lässt, ist möglich.
Was tun?
Üblicherweise müssen Sie nichts tun, denn Makros sind in den Office-Programmen standardmäßig deaktiviert. Das gilt sowohl für PCs als auch für Macs. Wir raten: Gehen Sie auf Nummer sicher und überprüfen Sie, dass Makros bei Ihnen deaktiviert sind.
Hier finden Sie die Anleitung von Microsoft zur Deaktivierung und Aktivierung von Makros für PC und für Mac.
Wie gesagt, Makros sind in aktuellen Office-Programmen standardmäßig deaktiviert. Aber oft können sie manuell aktiviert werden. Wir raten: Tun Sie das nicht! Und wenn Sie dazu aufgefordert werden? Dann halten Sie unbedingt Rücksprache.
Cyberkriminelle gehen z. T. sehr raffiniert vor, um Sie dazu zu bringen, Makros zu aktivieren. So verschickte z. B. der über Jahre hinweg gefürchtete Emotet-Trojaner extrem authentisch wirkende E-Mails, die zumeist einen Office-Anhang enthielten. Im Text der E-Mail wurde ausdrücklich darum gebeten, die Makros in dem angehängten Dokument zu aktivieren. Denn nur dann konnte der in den Dokumenten versteckte Schadcode aktiv werden. Auch wenn die Emotet-Infrastruktur Anfang 2021 zerschlagen wurde, kann diese Angriffstaktik weiterhin genutzt werden. Daher raten wir zu höchster Vorsicht.
Was ist OLE?
OLE steht bei Microsoft für Object Linking and Embedding, also für das Verlinken oder Einbetten von Objekten. Zu solchen Objekten können z. B. Grafiken, Videos und Tabellen gehören. Wird in einem Word-Dokument z B. auf eine Tabelle verlinkt, kann diese in Excel bearbeitet werden. Wird diese Tabelle in Word hingegen eingebettet, kann sie direkt in Word bearbeitet werden. Damit die eingebetteten Objekte nutzbar sind, muss ein entsprechender Programmcode in das Dokument integriert werden. Für Cyberkriminelle bedeutet das eine Möglichkeit, Schadcodes einzubetten.
Worin besteht die Gefahr?
Von Cyberkriminellen manipulierte OLE-Objekte müssen zumeist angeklickt werden, um aktiv zu werden. Dazu werden verschiedene Tricks eingesetzt. So kann das Objekt zum Beispiel wie ein Feld aussehen, in das sie einen Sicherheitscode eingeben sollen. Oder in der begleitenden E-Mail werden Sie zu entsprechenden Aktionen aufgefordert.
Was tun?
Aktivieren Sie keine eingebetteten Objekte. Sollten Sie genau dazu aufgefordert werden, halten Sie unbedingt Rücksprache.
Was ist eine Sandbox?
Der englische Begriff „Sandbox“ bedeutet übersetzt Sandkasten. In der IT bezeichnet Sandbox einen abgetrennten, isolierten Bereich innerhalb eines Systems. Aktionen oder Programme, die in dieser Sandbox ausgeführt werden, bleiben auf diese begrenzt und wirken sich nicht auf das Gesamtsystem aus. Wird die Sandbox geschlossen, werden ihre gesamten Inhalte gelöscht.
Wo finde ich so eine Sandbox?
In einigen Betriebssystemen sind Sandboxes bereits vorhanden. Auf Macs laufen sogar die meisten Programme in einer eigenen Sandbox, auch neuere Office-Programme.
In Windows 10 Enterprise, Windows 10 Professional oder Windows 10 Education in den Versionen 1809 oder höher sind ebenfalls Sandboxes enthalten. Leider sind sie standardmäßig deaktiviert. Wie Sie sie aktivieren, erfahren Sie z. B. bei Microsoft.
Ist in Ihrem Betriebssystem keine Sandbox integriert, können Sie hierfür ein separates Programm installieren. Viele Viren-Scanner besitzen ebenfalls eine Sandbox.
Da kein Schutz 100%ig ist
Keine Technologie ist unfehlbar, das gilt auch für Sandboxes. Wir empfehlen daher, sie umsichtig zu nutzen und alle oben bereits genannten Maßnahmen stets zusätzlich zu ergreifen.
Sie sind Perseus-Mitglied, misstrauen einem Office-Dokument und möchten kein Risiko eingehen? Dann leiten Sie uns das Dokument einfach weiter, wir überprüfen es für Sie.
Sie sind noch kein Perseus-Mitglied? Dann wenden Sie sich an die IT-Abteilung Ihres Unternehmens … und regen Sie außerdem an, dass ein Vorgehen für dem Umgang mit Office-Dokumenten festgelegt wird. Ganz besonders für alle Personen, die mit potenziell kritischen Dokumenten wie z. B. vermeintlichen Bewerbungen oder Rechnungen in Kontakt kommen.
Everyday tips | Cybersecurity | Microsoft Office
85% of all German companies use Microsoft Office as their office software of choice. Many documents are also created, edited and shared privately using Word & Co. But cybercriminals also like to use Office programmes – to spread malware. We reveal how you can better protect yourself against this.
Office documents are popular gateways for cybercriminals. This is not only because Microsoft programmes are so widely used, but also because active content can be embedded in Office documents. This active content is essentially small programmes that cybercriminals can use for their own purposes. For example, such a programme can cause malware to be downloaded from the Internet. Some companies and institutions are taking drastic measures to protect themselves against such attacks. For example, they automatically delete all emails with attached, open Office documents. Or all emails whose attached Office documents contain active content. PDF documents as attachments, on the other hand, are usually accepted.
The protective measures recommended below do not go that far. Therefore, you always have a role to play. Your eyes, your attention or even just your gut feeling that something is wrong with a document or an email attachment can prevent major damage. So remain vigilant.
Important: Clear guidelines for handling Office documents are essential in companies. This applies in particular to documents from external sources, such as job applications and invoices. The experts at Perseus will be happy to advise you.
What is the ideal scenario if you receive malware in the form of an Office document? You recognise the document as suspicious and do not open it. You have already nipped the potential attack in the bud – well done!
Therefore, treat all Office documents you receive with caution. This applies in particular to unexpected invoices, reminders or order confirmations that arrive by email.
What are administrator rights?
Computers need to be managed, set up and updated. This requires deep intervention in the system.
Anyone who takes on this task is considered an administrator (i.e. a manager or supervisor) and requires unrestricted access rights to all of the computer’s systems. These unrestricted access rights are therefore also referred to as administrator rights.
What is problematic about administrator rights?
Because administrator rights allow unrestricted access to a computer, their misuse can cause enormous damage. All it takes is for a malicious program to be executed with administrator rights. This allows it to make any changes it wants to your computer.
What can you do?
What are macros?
The term macro comes from software programming. In programming, macros are small subprograms that are often used like building blocks. They usually contain the program code for multi-step processes, which then no longer need to be programmed manually step by step.
Because the principle is so practical, Microsoft has made it available in Office programmes for users without programming knowledge. Here, multi-step processes can be easily recorded, saved as macros and then repeated as often as required. For example, if the current date is to be displayed in several places in a document. The corresponding macro updates it automatically when the document is opened or saved.
Why are macros problematic?
Macros are small programs contained in an Office document that are executed automatically. In everyday office life, this is helpful if the macro performs a desired function – such as updating the date, as mentioned above.
The problem arises when a macro has been programmed by cybercriminals. In this case, their program is executed automatically. What it does depends on the cybercriminals‘ objectives. It may just open countless new documents. Or it may download malware from the Internet that encrypts your computer. Practically anything that can be programmed is possible.
What should you do?
Usually, you don’t need to do anything, as macros are disabled by default in Office programmes. This applies to both PCs and Macs. Our advice: play it safe and check that macros are disabled on your device.
Here you will find Microsoft’s instructions for disabling and enabling macros for PC and Mac.
As mentioned above, macros are disabled by default in current Office programs. However, they can often be enabled manually. Our advice: Don’t do it! What if you are asked to do so? Then be sure to consult with someone.
Cybercriminals sometimes use very sophisticated methods to trick you into enabling macros. For example, the Emotet Trojan, which has been feared for years, sent extremely authentic-looking emails that usually contained an Office attachment. The text of the email explicitly asked recipients to enable macros in the attached document. Only then could the malicious code hidden in the documents become active. Even though the Emotet infrastructure was dismantled in early 2021, this attack tactic can still be used. We therefore advise extreme caution.
What is OLE?
OLE stands for Object Linking and Embedding, which is a Microsoft technology for linking or embedding objects. Such objects can include graphics, videos and tables. If, for example, a table is linked to a Word document, it can be edited in Excel. If, on the other hand, this table is embedded in Word, it can be edited directly in Word. In order for the embedded objects to be usable, a corresponding program code must be integrated into the document. For cybercriminals, this means an opportunity to embed malicious code.
What is the danger?
OLE objects manipulated by cybercriminals usually have to be clicked on to become active. Various tricks are used to achieve this. For example, the object may look like a field in which you are asked to enter a security code. Or the accompanying email may prompt you to take certain actions.
What should you do?
Do not activate embedded objects. If you are asked to do so, be sure to consult with someone first.
What is a sandbox?
The term ‘sandbox’ refers to a separate, isolated area within a system. Actions or programmes executed in this sandbox remain confined to it and do not affect the overall system. When the sandbox is closed, its entire contents are deleted.
Where can I find a sandbox?
Some operating systems already have sandboxes. On Macs, most programmes run in their own sandbox, including newer Office programmes.
Sandboxes are also included in Windows 10 Enterprise, Windows 10 Professional or Windows 10 Education versions 1809 or higher. Unfortunately, they are disabled by default. You can find out how to enable them at Microsoft, for example.
If your operating system does not have a built-in sandbox, you can install a separate program for this purpose. Many virus scanners also have a sandbox.
Since no protection is 100% effective
No technology is foolproof, and this also applies to sandboxes. We therefore recommend that you use them with caution and always take all of the measures mentioned above as well.
Are you a Perseus member, suspicious of an Office document and don’t want to take any risks? Then simply forward the document to us and we will check it for you.
Not a Perseus member yet? Then contact your company’s IT department… and also suggest that a procedure for handling Office documents be established. This is especially important for anyone who comes into contact with potentially critical documents such as suspected job applications or invoices.