Suchbereich: Gesamte Office.com-Website
 
Support / Excel / Hilfe und Anleitungen zu Excel 2003 / Sicherheit und Datenschutz / Makros und Virenschutz
 
 

Auswählen der geeigneten Makrosicherheitsstufe

Zutreffend für: Microsoft Office Excel 2003

 
Anwendbar unter
Microsoft Office Excel 2003

Abbildung des Bucheinbands

Dieser Artikel wurde von Curtis Frye verfasst, dem Autor von Microsoft Office Excel 2003 Programming Inside Out.

In diesem Artikel wird erläutert, welche Bedeutung dem Festlegen und Verwalten geeigneter Makrosicherheitsstufen zukommt. Damit soll erreicht werden, dass ein System keinen Makros zum Opfer fällt, die mit der Absicht geschrieben wurden, Computer zu beschädigen.

Visual Basic für Applikationen (VBA) ist eine Programmiersprache, in der Sie effiziente Makros schreiben können, die das Ausführen von Routineaufgaben erleichtern sollen. Leider wird mit vielen Viren speziell auf die Ausnutzung der Vorteile von VBA-Makros abgezielt, um schädliche Aktionen gegen System- und Datendateien auszuführen. Die beste Verteidigung besteht in der Verwendung von Makrosicherheit in Verbindung mit Antivirensoftware zum Schutz vor möglichen Bedrohungen.

Sie sollten bereits über ein oder zwei auf dem Computer installierte Virenschutzprogramme verfügen, die als erste Verteidigungslinie gegen Makroviren (in einer Makroprogrammiersprache geschriebene Viren) fungieren. Es werden jedoch ständig neue Viren entwickelt, und es ist möglich, dass die aktuellsten Bedrohungen von den Virenschutzprogrammen nicht erkannt werden. Neben der zweiten Verteidigungslinie – die darin besteht, dass Sie selbst alle empfangenen Dateien eingehend überprüfen, unabhängig davon, ob Sie sie erwartet haben – können Sie die Makrosicherheitseinstellungen in Microsoft Excel aktivieren.

Mit den Makrosicherheitseinstellungen wird gesteuert, welche Einschränkungen Excel für die Ausführung von Makros auf dem Computer festlegt. Es sind vier Sicherheitsstufen vorhanden: „Sehr hoch“, „Hoch“, „Mittel“ und „Niedrig“. Diese können im Dialogfeld Sicherheit (Menü Extras, Befehl Optionen, Registerkarte Sicherheit, Schaltfläche Makrosicherheit) festgelegt werden, wie in der folgenden Abbildung veranschaulicht.

Abbildung des Dialogfelds 'Makrosicherheit'.

Festlegen von niedriger und mittlerer Makrosicherheit

Sie sollten die Makrosicherheitsstufe Niedrig aus der Liste akzeptabler Makrosicherheitseinstellungen streichen. Selbst wenn Sie über ein nahezu allumfassendes Virenschutzprogramm verfügen, das Eindringen auch nur eines Virus kann verheerende Folgen haben. Keiner Software können alle erwarteten oder unerwarteten Makros bekannt sein. Deshalb sollten auch Sie selbst aktiv Sicherheitsmaßnahmen ergreifen.

Die nächste Stufe der Makrosicherheit ist Mittel. Wenn Sie auf dieser Stufe eine Arbeitsmappe öffnen, die Makros enthält, wird in Excel ein Dialogfeld geöffnet. In diesem werden Sie gefragt, ob Sie die Makros aktivieren möchten. Dabei stehen folgende Optionen zur Auswahl:

Abbildung der Meldung 'Sicherheitswarnung'.

  • Klicken Sie auf Makros deaktivieren, um die Arbeitsmappe zu öffnen, ohne dass Makros ausgeführt werden.
  • Klicken Sie auf Makros aktivieren, um die Arbeitsmappe zu öffnen und die Ausführung von Makros in der Arbeitsmappe zuzulassen.
  • Klicken Sie auf Weitere Informationen, wenn Sie Hilfe bei dieser Entscheidung benötigen.
  • Schließen Sie das Dialogfeld Sicherheitswarnung, um die Arbeitsmappe überhaupt nicht zu öffnen.

Wenn Sie mit vielen Makros arbeiten und die einzige Person sind, die Zugang zum betreffenden Computer hat, und wenn Sie sich sicher sind, dass Sie nicht versehentlich auf Makros aktivieren klicken, wenn Sie eine unerwartete Datei empfangen (oder eine Datei, in der eigentlich keine Makros enthalten sein sollten), können Sie ggf. auch die Makrosicherheitsstufe Mittel festlegen. Es empfiehlt sich jedoch nicht, die Einstellung Mittel ständig zu verwenden. Wenn außer Ihnen noch andere Benutzer mit diesem Computer arbeiten, sollten Sie die Makrosicherheitsstufe unbedingt auf Hoch festlegen.

Festlegen von hoher Makrosicherheit

Die Makrosicherheitsstufe Hoch wird als Einstellung für alle Benutzer empfohlen. Legen Sie diese Stufe der Makrosicherheit fest, wenn Sie in einer Umgebung arbeiten, in der Sie keine eigenen Makros schreiben müssen und die einzigen zu berücksichtigenden Add-Ins entweder in Excel integriert (beispielsweise das Analyse-Funktionen-Add-In) oder selbst geschriebene und mit einem digitalen Zertifikat signierte Add-Ins sind.

Mit dieser Einstellung wird festgelegt, dass ein Add-In oder Makro von einem vertrauenswürdigen Herausgeber digital signiert bzw. an einem vertrauenswürdigen Speicherort installiert sein muss, bevor das betreffende Makro ausgeführt werden darf. Ein vertrauenswürdiger Herausgeber (in früheren Excel-Versionen als vertrauenswürdige Quelle bezeichnet) ist eine Entität, für die Folgendes gilt:

  • Der Herausgeber erhält ein digitales Zertifikat von einer Zertifizierungsstelle.
  • Er signiert das Makro mit diesem digitalen Zertifikat.
  • Er nimmt Ihnen gegenüber eine Vertrauensstellung ein.

Meist sprechen Sie einer Person oder einer Organisation mit einem digitalen Zertifikat Ihr Vertrauen aus, indem Sie ein Kontrollkästchen aktivieren. Wenn Sie aufgefordert werden, ein Add-In in Excel oder ein Plug-In in Internet Explorer zu installieren, wird in beispielsweise in einem Dialogfeld das Kontrollkästchen Inhalt von Microsoft Corporation immer vertrauen angezeigt.

Wenn die Makrosicherheitsstufe auf Hoch festgelegt ist, werden in Excel nur die Makros ausgeführt, die digital signiert oder an einem vertrauenswürdigen Speicherort gespeichert sind, beispielsweise im Startordner von Excel. Auf alle vertrauenswürdigen Speicherorte müssen Berechtigungen angewendet werden, sodass nur Administratoren die dort gespeicherten Dateien verwalten können.

 Hinweis   Nicht signierte Makros im Startordner von Excel werden nur ausgeführt, wenn Sie zuerst Excel starten. Sie werden nicht ausgeführt, wenn Sie die Datei in Excel öffnen, indem Sie im Menü Datei auf Öffnen klicken.

Damit nicht vertrauenswürdige Makros ausgeführt werden können, muss im Dialogfeld Sicherheit auf der Registerkarte Vertrauenswürdige Herausgeber das Kontrollkästchen Allen installierten Add-Ins und Vorlagen vertrauen aktiviert sein . Diese Option ist in der Standardeinstellung aktiviert, wie in der folgenden Abbildung veranschaulicht. Wenn sie nicht aktiviert ist, werden in Excel nur Makros mit vertrauenswürdigen digitalen Signaturen ausgeführt. Digitale Signaturen und Zertifikate werden an späterer Stelle in diesem Artikel ausführlicher behandelt.

Registerkarte 'Vertrauenswürdige Herausgeber' im Dialogfeld 'Sicherheit'.

Auf der Registerkarte Vertrauenswürdige Herausgeber befindet sich außerdem das Kontrollkästchen Zugriff auf Visual Basic-Projekt vertrauen, das in der Standardeinstellung deaktiviert ist. So können Sie von Excel bei Makros gewarnt werden, die versuchen, auf das Visual Basic-Projekt zuzugreifen.

Festlegen von sehr hoher Makrosicherheit

Auf der höchsten Stufe der Makrosicherheit, Sehr hoch, wird die Ausführung sämtlicher Makros und Add-Ins in Excel verhindert. Nur Makros in einem bestimmten Ordner auf dem Computer werden als vertrauenswürdig angesehen, wobei es keine Rolle spielt, ob sie digital signiert sind. Für diesen Ordner müssen als Sicherheitsgründen Berechtigungen auf Ordner- oder Dateiebene festgelegt sein.

Wenn Sie kein Administrator sind, der den Grad der Sicherheit auf Ordner- bzw. Dateiebene steuert, müssen Sie die Makrosicherheitsstufe Sehr hoch nicht festlegen.

Arbeiten mit digitalen Signaturen

Die Makrosicherheitseinstellung Hoch stützt sich teilweise auf die Verwendung digitaler Signaturen, um die Quelle von VBA-Code in einer Arbeitsmappe zu überprüfen. Eine digitale Signatur ist das Ergebnis der Anwendung von Verfahren der Verschlüsselung mit öffentlichen Schlüsseln, bei der eine eindeutige Kombination aus dem signierten Material und einer anderen Datei erstellt wird, die ausschließlich Ihnen bekannt ist. Die digitale Signatur kann als von Ihnen signiert überprüft werden. Die dabei ausgeführten mathematischen Vorgänge sind relativ komplex und basieren auf der Gruppentheorie und anderen Disziplinen, in denen sich nur wenige Fachleute wirklich auskennen. Der wesentliche Ablauf dieses Vorgangs wird im Folgenden beschrieben.

Erstellen von Verschlüsselungsschlüsseln

Der erste Schritt für Sie besteht im Erstellen eines Schlüssels. Mit diesem werden Ihre Daten verschlüsselt, indem die Werte im Schlüssel zu den Werten im Text hinzugefügt werden. Ein einfaches Beispiel: Der Schlüssel besteht aus dem Buchstaben a, und der zu verschlüsselnde Begriff lautet kazoo. Wenn Sie a (den ersten Buchstaben im Alphabet) jedem Buchstaben in kazoo hinzufügen, verschiebt sich jeder Buchstabe im Alphabet um eine Stelle, woraus das verschlüsselte Wort lbapp entsteht. Der von Ihnen erstellte Schlüssel ist sehr viel länger und in zwei Bestandteile aufgeteilt:

  • Privater Schlüssel     Der private Teil des verschlüsselten Schlüssels, der als privater Schlüssel bezeichnet wird, muss geheim gehalten werden. Dieser darf gegenüber niemandem offen gelegt werden, und jeder, der Sie zur Preisgabe dieses privaten Schlüssels auffordert, hegt mit Sicherheit keine guten Absichten.
  • Öffentlicher Schlüssel     Der öffentliche Teil des verschlüsselten Schlüssels, der als öffentlicher Schlüssel bezeichnet wird, kann und sollte an alle Personen weitergegeben werden, mit denen digital signierte Dateien ausgetauscht werden. Der Trick bei der Verschlüsselung mit öffentlichen Schlüsseln besteht darin, dass alle Personen, die über eine Kopie Ihres öffentlichen Schlüssels verfügen, sich vergewissern können, dass ein von Ihnen mit Ihrem privaten Schlüssel signiertes Dokument tatsächlich von Ihnen stammt und seit der Signierung nicht mehr geändert wurde. Ein wichtiger Punkt dabei ist, dass alle Personen, die versuchen, eine Datei mit Ihrem öffentlichen Schlüssel zu signieren, offensichtlich nicht mit Ihnen identisch sind.

Einrichten von Vertrauensstellungen außerhalb Ihrer Organisation

Je nach dem verwendeten Softwarepaket für die Verschlüsselung können Sie in der Lage sein, mit Ihrem Paar aus öffentlichem und privatem Schlüssel über das interne Netzwerk verteilte Arbeitsmappen und Makrocode digital zu signieren. Das Problem bei der Verwendung von Schlüsselpaaren, die nicht außerhalb der Organisation verteilt werden, besteht darin, dass außerhalb Ihrer Organisation niemand feststellen kann, ob Ihre Signatur gültig ist. Wenn Sie mit Benutzern außerhalb Ihres Unternehmensnetzwerks zusammenarbeiten müssen, können Sie ein digitales Zertifikat von einem vertrauenswürdigen Drittanbieter beziehen. Bei einem digitalen Zertifikat handelt es sich um eine elektronische Datei, die Sie identifiziert und folgende Informationen enthält:

  • Den Namen Ihrer Organisation.
  • Die ausstellende Zertifizierungsstelle für das Zertifikat.
  • Ihre E-Mail-Adresse und Ihr Land.
  • Das Ablaufdatum des Zertifikats.
  • Eine Kopie Ihres öffentlichen Schlüssels.

Nach dem Signieren eines Dokuments mit einem digitalen Zertifikat können alle Personen, die dieses überprüfen möchten, auf den Schlüsselserver der ausstellenden Stelle zugreifen und die Signatur mit Ihrem öffentlichen Schlüssel vergleichen.

Eine Liste der Teilnehmer finden Sie auf der MSDN-Website (Microsoft Developer Network) im Microsoft-Programm für Stammzertifikate (Microsoft Root Certificate Program).

Erstellen eines eigenen digitalen Zertifikats

Wenn Sie die Kosten scheuen und kein digitales Zertifikat bei einem kommerziellen Anbieter erwerben möchten, können Sie mithilfe des Office-Hilfsprogramms Selfcert.exe ein eigenes Zertifikat erstellen.

  1. Klicken Sie im Windows-Menü Start auf Alle Programme.
  2. Klicken Sie auf Microsoft Office, zeigen Sie auf Microsoft Office Tools, und klicken Sie dann auf Digitale Signatur für VBA-Projekte.

 Hinweis   Beachten Sie stets, dass dieses selbst erstellte Zertifikat nur auf Ihrem eigenen Computer verwendet werden kann. Andere Benutzer, die eine von Ihnen mit Selfcert.exe signierte Datei öffnen, können das von Ihnen erstellte Zertifikat nicht als vertrauenswürdig einstufen.

Digitales Signieren von Arbeitsmappen und Makros

Nachdem Sie ein digitales Zertifikat von einer Zertifizierungsstelle erworben haben, können Sie im Dialogfeld Zertifikat auswählen eine Arbeitsmappe digital signieren.

Dialogfeld 'Zertifikat auswählen'

Digitales Signieren einer Arbeitsmappe

  1. Klicken Sie im Menü Extras auf Optionen.
  2. Klicken Sie auf der Registerkarte Sicherheit auf Digitale Signaturen.
  3. Klicken Sie auf Hinzufügen.
  4. Führen Sie eine der folgenden Aktionen aus:
    • Wählen Sie im Feld Wählen Sie das Zertifikat, das verwendet werden soll den Namen des Zertifikats aus, mit dem die Arbeitsmappe signiert werden soll.
    • Wenn einige Ihrer Zertifikate ähnliche Namen aufweisen und Sie sich die Details zu einem Zertifikat ansehen möchten, klicken Sie auf Zertifikat anzeigen.

Digitales Signieren eines Makros

  1. Zeigen Sie im Menü Extras auf Makro, und klicken Sie dann auf Visual Basic-Editor.
  2. Klicken Sie im Visual Basic-Editor im Menü Extras auf Digitale Signatur.
  3. Klicken Sie auf Wählen, und führen Sie eine der folgenden Aktionen aus:
    • Wählen Sie im Feld Wählen Sie das Zertifikat, das verwendet werden soll den Namen des Zertifikats aus, mit dem das Makro signiert werden soll.
    • Wenn einige Ihrer Zertifikate ähnliche Namen aufweisen und Sie sich die Details zu einem Zertifikat ansehen möchten, klicken Sie auf Zertifikat anzeigen.

 Hinweis   Das Dialogfeld Zertifikat auswählen, das beim Signieren von VBA-Code angezeigt wird, kann abgelaufene Zertifikate enthalten. Vergewissern Sie sich, dass das ausgewählte Zertifikat aktuell ist, da das Signieren eines Makros mit einem abgelaufenen (d. h. ungültigen) Zertifikat keine Signierung darstellt.

Abschließende Bemerkung

Die verfügbaren Makrosicherheitseinstellungen in Excel mögen zunächst unübersichtlich erscheinen. Die Richtlinien für das Arbeiten mit Makros können jedoch wie folgt zusammengefasst werden:

  • Aktualisieren Sie regelmäßig Ihre Virenschutzsoftware.
  • Öffnen Sie niemals eine Arbeitsmappen (oder sonstige Dokumente), die Sie nicht erwartet haben oder die Ihnen unbekannt sind.
  • Verwenden Sie nie die Makrosicherheitsstufe Niedrig.
  • Legen Sie gelegentlich die Makrosicherheitseinstellung Mittel fest, wenn Sie häufig mit Makros arbeiten und bei jeder geöffneten Arbeitsmappe auswählen möchten, ob die Makros ausgeführt werden sollen.
  • Legen Sie dauerhaft die Makrosicherheitseinstellung Hoch fest, um die Ausführung von Makros aus nicht vertrauenswürdigen Quellen auf Ihrem Computer zu verhindern.
  • Legen Sie die Makrosicherheitseinstellung Sehr hoch fest, wenn außer den Makros in einem bestimmten Ordner auf dem Computer keine Makros ausgeführt werden sollen.
  • Erwerben Sie ein digitales Zertifikat, wenn Sie vertrauenswürdige Arbeitsmappen an Benutzer außerhalb Ihrer Organisation senden müssen.

Empfehlung für optimalen Makrovirenschutz

Optimalen Makrovirenschutz und Sicherheit der Ausführung aller Makros können Sie erreichen, indem Sie folgende Aktionen ausführen:

  • Legen Sie die Makrosicherheitsstufe auf Hoch fest.
  • Versehen Sie alle Makros mit einem digitalen Zertifikat (mit Selfcert.exe oder durch Erwerb eines digitalen Zertifikats).
  • Deaktivieren Sie im Dialogfeld Sicherheit auf der Registerkarte Vertrauenswürdige Herausgeber das Kontrollkästchen Allen installierten Add-Ins und Vorlagen vertrauen.
 
 

Siehe auch