MAKROMAFIA
Der Erpresser-Trojaner Locky hält Deutschland in Atem und legt ganze Firmen lahm. Meist hat ein Mitarbeiter eine Makro-Warnung in Word übersehen. Tappen Sie nicht in diese Falle! von Wolf Hosbach
Ein längst bezwungener Feind taucht plötzlich wieder auf. So feiern in diesen Wochen die Makroviren ein groteskes Comeback. Hunderttausende Infektionen gehen etwa auf das Konto des aggressiven und schlauen Erpressungstrojaners Locky. Er verbreitete sich innerhalb kürzester Zeit, und selbst namhafte Institutionen wie die Fraunhofer Gesellschaft oder eine Reihe nordrhein-westfälischer Krankenhäuser gehörten zu seinen Opfern. Locky traf o ensichtlich einen wunden Punkt: Weder die Anwender noch die Hersteller von Sicherheits-Software haben mit so einem Ausbruch gerechnet. Der Grund ist, dass Microsoft vor einigen Jahren die Schutzmechanismen bei Makros drastisch erhöht hat. Einerseits gibt es seit Word 2007 ein eigenständiges Word-mitMakro-Format (.docm statt .docx). Und andererseits muss der Anwender die Ausfüh- rung eines Makros explizit bestätigen. Eine sichere Sache, so scheint es. Dennoch warnt Microsoft schon seit Anfang 2014 vor einem Wiederanstieg der Bedrohung. Denn die Virenautoren haben in anderer Hinsicht aufgerüstet. Die Mails, in denen sie Locky und Co. verteilen, sind in puncto Social Hacking stark perfektioniert. In einwandfreiem Deutsch kommt eine Rechnung von einer namhaften Firma per E-Mail daher. Der Buchhalter sieht keinen Grund, die Mail nicht zu ö nen. Das angehängte Word-Dokument, das durch die auf Makros nicht scharf gestellte Virenerkennung der Firewall geschlüpft ist, ist nach dem Ö nen leer, enthält nur einen gelben Warnhinweis: „Inhalte aktivieren“und klein daneben: „Makros wurden deaktiviert“. An dieser Stelle werden nur Anwender misstrauisch, die das Konzept Makrovirus aus der Vergangenheit noch kennen. Alle anderen tun das, was im