Emotet: Gefahr für Office 365?

Emotet ist ein Computer-Schadprogramm in Form eines sogenannten „Banking-Trojaners“, das auf modernere Versionen des Betriebssystems Windows von Microsoft abzielt. Dabei ist es auf das Abfangen von Online-Banking-Zugangsdaten spezialisiert, kann darüber hinaus jedoch noch eine Vielzahl weiterer Module mit anderen Schadfunktionen nachladen und zur Ausführung bringen. Opfer der Schadsoftware sind vor allem Behörden und Unternehmen.
Mithilfe von Makros, die in den Dateien enthalten sein können, wird ein Rechner infiziert. Mit Gruppenrichtlinien kann ein Administrator das unternehmensinterne (oder auch private) Windows-Netz schützen, z.B. können Office-Makros komplett verboten werden. Dennoch muss hier aufgepasst werden: Oft ist dieser Schutz nicht so zuverlässig wie man denkt, denn Microsoft hat dem ganzen einen kleinen Riegel vorgeschoben:
Trotz Makroeinstellung “Alle Makros ohne Benachrichtigung deaktivieren” und ausgegrauten Auswahloptionen beim Anwender kann auf einmal Emotet auftreten. Durch unterschiedliche Office-Versionen hat sich das Programm über die Gruppenrichtlinie (ohne eine Meldung) hinweggesetzt. Nachforschungen haben ergeben, dass Microsoft die Unterstützung von Gruppenrichtlinien in folgenden Office-Editionen für den Firmeneinsatz abgeschaltet hat:
- Office 365 Business
- Office 365 Business Essentials
- Office 365 Business Premium
- Office 365 Enterprise E1
- Office 365 Enterprise F1
- Microsoft 365 Business
Konkret funktionieren die Gruppenrichtlinien derzeit mit:
- Office Professional Plus 2013
- Office Professional Plus 2016
- Office Professional Plus 2019
- Office 365 ProPlus
- Office 365 Enterprise E3
- Office 365 Enterprise E5
Allerdings: Wird eine Office-Version geupgradet, könnten Sicherheitslücken entstehen, denn die Sicherheitsrichtlinien werden nicht übernommen. Das Ganze passiert ohne Meldung und der Rechner kann sich wieder mit Emotet infizieren. Dennoch gibt es Möglichkeiten, wie man die Gruppenrichtlinien so bestimmen kann, sodass man vor Emotet geschützt ist.
Microsoft Intune
In Microsoft Intune kann man mit administrativen Vorlagen Einstellungen vornehmen, die auf unterschiedliche Gerätegruppen angewendet werden können. Diese Einstellungen ermöglichen Gruppenadministratoren das Verwalten von Gruppenrichtlinien mithilfe der Cloud. Administrative Vorlagen sind in Intune integriert, einschließlich der Verwendung des OMA-URI, und erfordern keine weiteren Anpassungen. Als Bestandteil Ihrer Lösung für die mobile Geräteverwaltung (Mobile Device Management, MDM) verwenden Sie diese Vorlageneinstellungen als Anlaufstelle, um Ihre Windows 10-Geräte zu verwalten. Hier kann dann auch die Ausführung von Makros in Office-Dateien aus dem Internet blockiert werden.
In folgendem Artikel wird näher beschrieben, wie eine derartige Vorlage in Intune für Windows 10-Geräte erstellt wird: https://docs.microsoft.com/de-de/intune/configuration/administrative-templates-windows
Office-Anpassungstool
Zudem können über das Office-Anpassungstool Konfigurationsdateien erstellt werden, die zur Bereitstellung von Office in höherem Maße verwendet werden. Darunter fallen Einstellungen wie „Welche Sprachen sollen installiert werden?“ oder „Welche Anwendungen sollen installiert werden?“, aber hier kann auch eingestellt werden, ob die Makros in Office-Dateien aus dem Internet ausgeführt werden sollen. Sofern die Datei an einem vertrauenswürdigen Ort abgespeichert wurde, kann dann das Makro zugelassen werden; sonst wird es blockiert. Wie man mit dem Office-Anpassungstool arbeitet, erklärt folgender Artikel: https://docs.microsoft.com/de-de/DeployOffice/overview-of-the-office-customization-tool-for-click-to-run
Lösungen des BSI
Das BSI hat für den Einsatz auf dem Betriebssystem Microsoft Windows sieben Cyber-Sicherheitsempfehlungen für eine sichere Konfiguration von Microsoft Office 2013/2016/2019 erstellt. Diese behandeln zum einen übergreifende Richtlinien für Microsoft Office, zum anderen Richtlinien für sechs häufig genutzte Microsoft Office-Anwendungen:
- Microsoft Access 2013/2016/2019
- Microsoft Excel 2013/2016/2019
- Microsoft Outlook 2013/2016/2019
- Microsoft PowerPoint 2013/2016/2019
- Microsoft Visio 2013/2016/2019
- Microsoft Word 2013/2016/2019
Die Empfehlungen richten sich an mittelgroße bis große Organisationen, in denen die Endsysteme mit Gruppenrichtlinien in einer Active Directory-Umgebung verwaltet werden. Die dahinterliegenden Sicherheitsprinzipien gelten gleichermaßen für kleine Organisationen und Privatanwender. Die dargestellten Empfehlungen können ohne die Beschaffung zusätzlicher Produkte durchgeführt werden und sind mit vergleichsweise wenig Aufwand durchführbar. Zudem können Sie auch in Intune und im Office-Anpassungstool adaptiert werden.
Wir von VINTIN empfehlen Ihnen deswegen, eine der oben genannten Lösungen zu befolgen. Sollten Sie dennoch Hilfe benötigen, so wenden Sie sich an uns!