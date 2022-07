Office-Dokumente mit bösartigen Makros sind nach wie vor eines der Haupt-Einfallstore für Ransomware. Deshalb verkündete Microsoft im Februar vollmundig, man wolle das Ausführen von Makros für Dateien aus dem Internet standardmäßig blockieren. Jetzt zieht man die Schutzmaßnahme "basierend auf Feedback" wieder zurück. Tests von heise Security zeigen, dass sie nie wirklich funktioniert hat.

Eigentlich sollte die neue Schutzfunktion bereits seit Mai ausgerollt werden; gemäß dem offiziellen MS-Office-Support-Dokument werden Makros aus dem Internet in Office standardmäßig blockiert. Noch am 7. Juli hieß es dort sogar, das neue Verhalten sei bereits seit Version 2205 aktiv. Bei unseren Tests mit den Versionen 2205 und 2206 erschien jedoch nach wie vor die gewohnte gelbe Warnmeldung, die unvorsichtige Anwenderinnen und Anwender einfach wegklicken und damit ihren Rechner infizieren. Auf unsere Nachfragen zu diesen Widersprüchen antwortete Microsoft nicht.

Die gelben Warnungen kann ein Anwender einfach wegklicken und damit seinen Rechner mit Schad-Software infizieren.

Dafür änderte sich über Nacht der Inhalt der Support-Seite. Dort findet sich jetzt der schlichte Hinweis: "Basierend auf Feedback führen wir diese Änderung aus dem aktuellen Kanal zurück" – mit dem Trost, man werde zu einem (ungenannten) späteren Zeitpunkt einen weiteren Anlauf nehmen. Was genau das Problem war, erklärt Microsoft nicht. Eine Antwort auf unsere Nachfragen zu den Widersprüchen haben wir immer noch nicht erhalten.

Unprofessionelles Verhalten

Sicherheits-Experten lobten das Entschärfen der Gefahr durch Makros als längst überfälligen Schritt. Dass Microsoft den jetzt zurücknimmt und auf das bekanntermaßen unsichere Verhalten zurückmigriert, ist aus Sicherheitssicht sehr problematisch. Die jährlichen Schäden durch Ransomware erreichen allein in Deutschland Milliardenhöhe und ein beträchtlicher Teil davon ist auf das gefährliche Verhalten von MS-Office zurückzuführen.

Doch dieser Vorgang wirft auch ein sehr ungünstiges Licht auf Microsofts Update-Strategie, die sich einmal mehr als wenig verlässlich erweist. Es sieht alles so aus, als habe Microsoft diese Funktion nur sehr halbherzig ausgerollt und dann aufgrund von Protesten einiger Kunden wieder zurückgenommen, ohne das jedoch zu kommunizieren. Das ist generell kein professionelles Vorgehen; bei Schutzmaßnahmen, auf die sich Kunden verlassen, ist es eigentlich unverzeihlich. Microsoft befindet sich offenbar in einer Position, in der das Unternehmen glaubt, sich alles erlauben zu können.

Selber testen

Wenn Sie selbst testen möchten, wie sich das eigene Office verhält, können Sie sich von heise Securitys Emailcheck eine harmlose Doc-Datei mit einem Makro zuschicken lassen. Optional bekommen Sie dort auch ein ZIP-Archiv mit je einer normalen und einer Doc-Datei mit einem Testmakro. Hinweis: Der Versand der Mails kann einige Minuten dauern. Wenn nach 10 Minuten nichts angekommen ist, wurde die Mail eventuell unterwegs von einem Virenfilter als "potenziell böse" aussortiert. Das ist vor allem in Firmen, die nicht auf Alternativen wie LibreOffice umsteigen können, eine sinnvolle Vorsichtsmaßnahme.

(ju)