Emotet: Sicherheitsrisiko Microsoft Office 365
Dokumentiert aber wenig bekannt: Den Business-Versionen von Office 365 fehlt eine wichtige Schutzfunktion, die unter anderem Emotet-Infektionen verhindern kann.
Emotet kommt fast immer über MS-Office-Dateien ins Netz. Dabei werden dann kleine Progrämmchen ausgeführt, um den Rechner zu infizieren – sogenannte Makros, die in den .doc-Dateien enthalten sind. Zum Glück kann man das abschalten, um sich beziehungsweise seine Firma zu schützen. Doch genau diesen Schutz vor bösartigen Makros hat Microsoft in den bei Firmen beliebten Business-Versionen von Office 365 offenbar mutwillig verkrüppelt.
Mit Gruppenrichtlinien kann der Administrator eines Windows-Netzes feste Regeln etwa für den sicheren Betrieb von Software vorgeben. So kann er beispielsweise für bestimmte Abteilungen oder sogar firmenweit auf allen Windows PCs das Ausführen von Office-Makros verbieten, weil diese nicht benötigt werden. Entsprechend empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Firmen in seinem Maßnahmen-Katalog zum Schutz vor Emotet: "Die generelle Ausführung von Makros sollte (zentral per Gruppenrichtlinie) deaktiviert werden." Das funktioniert auch zuverlässig mit allen Versionen von Office Professional Plus.
Wenig bekannt ist jedoch: Wer etwa auf Office 365 Business Premium umsteigt, reißt allein damit unter Umständen ein riesiges Sicherheitsloch in seine vormals gut abgesicherte Firmen-IT. Denn die meisten Office-365-Versionen ignorieren die Vorgaben aus Gruppenrichtlinien – und das auch noch stillschweigend. Damit können dann vorher gut geschützte Anwender plötzlich ihren Rechner wieder mit wenigen Mausklicks mit Emotet infizieren. Und die Admins bekommen das mit etwas Pech erst mit, wenn es zu spät ist.
Gefährlicher Lizenzpoker
Es handelt sich dabei keineswegs um ein grundsätzliches Problem von Office 365, ein Versehen oder gar ein unbeabsichtigtes Sicherheitsloch. Denn zum einen betrifft das Problem vor allem die preisgünstigen Business-Versionen; die teuren Enterprise-Versionen von Office 365 unterstützen die Gruppenrichtlinien durchaus. Zum anderen dokumentiert Microsoft deren fehlende Unterstützung bei den Office-365-Business-Versionen im Kleingedruckten, der sogenannten Dienstbeschreibung zu Office-Anwendungen direkt nach den Informationen zu "Archivierung und Vorschrifteneinhaltung mit Exchange Online und SharePoint Online".
Damit verdichtet sich der Eindruck, dass es Microsoft vor allem um eines geht: Den Kunden die teuren Enterprise-Lizenzen aufzuzwingen. Wer dafür nicht das Geld auf den Tisch legen will, lebt eben gefährlich. Angesichts von Emotet-Infektionen die Firmen und Organisationen bis in den Ruin treiben können, ist das ein sehr fragwürdiges Vorgehen. Insbesondere weil viele Betroffene gar nicht mitbekommen, dass sie ein Problem haben.
Welche Office-Versionen sich genau wie verhalten und wie man sich – zumindest ein Stück weit – selbst helfen kann, dokumentiert der heise-Security-Hintergrundartikel
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ju)
