Kann man über Excel und VBA auf einen PC zugreifen und wenn ja, wie kann man das unterbinden?
Hallo, ich habe eine sehr komplizierte Frage: Ich arbeite in einem großen Unternehmen. Meine Kollegen und ich benutzen (als Datensammlung) eine sehr große Excel Datei die in einem Netzwerk-Laufwerk abgelegt ist. Einer dieser Kollegen hat die Datei mit sehr vielen VBA´s, Macros und Sonderfunktionen vollgestopft. Darunter eine Funktion die den User der Excel-Datei mit Name und Passwort ins SAP einloggen kann, ohne das man selbst nach einem (sonst immer nötigen!!) Passwort gefragt wird. Wir wissen das der besagte Kollege sehr fit ist in Sachen VBA-Codes. Die Firmeneigene IT-Abteilung hat sogar Angst davor das er etwas in ihr System bastelt. Mitlerweile können wir mit ziemlicher Gewissheit sagen das dieser Kollege auf unsere Daten (E-Mails, Passwörter usw.) Zugriff hat bzw mitlesen kann. In einigen Versuchen haben wir herausfinden können das dieser Kollege Dinge weiß die wir bewusst untereinander nur als E-Mails verschickt haben (um nur ein Beispiel zu nennen)
Meine abschließende Frage hierzu: Ist es möglich über eine Excel-Datei mit VBA´s Zugriff auf andere Rechner zu bekommen und wie kann man das beenden, bestenfalls nachweisen? Vielen Dank für jede zielführende Antwort!
3 Antworten
zum einen: von VBA aus sich auf eine webseite einloggen ist keine hexerei, man muss nur wissen wies geht - mit hintergrundwissen + google kann man sich schon was zusammenbasteln, z.b. http://www.vbforums.com/showthread.php?505407-How-to-use-WSock32-dll-MsWSock-dll-WinSock-dll-WS2_32-dll
zum anderen: mir riecht das etwas nach mobbing. und zwar dem kollegen gegenüber, der wohl etwas auf drauf hat. andere sind neidisch auf ihn (es genügt schon 1 oder 2 die sowas lostreten können). vielleicht ist er etwas verschroben. ich würde da mal sehr vorsichtig sein.
passwörter ausspionieren mit VBA? nee.
IT kollegen haben angst vor ihm? oder sind die nur unfähig, die netzumgebung ausreichend zu schützen? oder sind da die mobber?
alles sehr merkwürdig. vielleicht versuchst du mal (vorsichtig) mit ihm darüber zu reden?
Bitte lies meine Antwort komplett, denn am Ende folgt ein fetter Disclaimer, auf den ich hier erheblichen Wert lege.
Danke.
----
(Ich bin ganz sicher, dass die IT-Abteilung deines Unternehmens das Folgende nicht wahrhaben will - und die Geschäftsführung keinen blassen Schimmer davon hat, welche Zeitbombe da auf ihren Servern schlummert.)
"Einer dieser Kollegen hat die Datei mit sehr vielen VBA´s, Macros und Sonderfunktionen vollgestopft."
Und nicht nur der: Bei so vielen Kollegen mit Schreibzugriff auf eine Makros enthaltende Datei besteht eine erhöhte Wahrscheinlichkeit dafür, dass einer davon mal unaufmerksam ist und einen verseuchten Mailanhang öffnet, so dass sich infolgedessen beim nächsten Öffnen der mit allen geteilten Datei ein Malware-Loader in dieser verewigt.
Einen besseren Verbreitungsvektor kann ich mir nicht vorstellen, denn selbst ein skeptischer Kollege, der niemals unerwartete Mailanhänge öffnen würde, hat vermutlich bei einer im firmeneigenen Netzwerk gelagerten Datei keinerlei Bedenken, sie zu öffnen.
"Die Firmeneigene IT-Abteilung hat sogar Angst davor das er etwas in ihr System bastelt."
Technisch könnte er das tun. Sogar völlig unbemerkt, wenn nicht einmal jemand auf die Idee kommt, die schon jetzt bestehenden umfangreichen Makros zu analysieren, um festzustellen, ob denn das Kind schon im Brunnen liegt.
"Angst" sollte meiner Meinung nach irgendwann zu "Meldung an den Vorgesetzten" führen. Offenbar hat die IT-Abteilung ja bereits erkannt, dass sie da etwas nicht hundertprozentig im Griff hat. Wenn sie sich dann aber scheut, die notwendigen Schritte zu tun, weil das unangenehmen Staub aufwirbeln könnte, erinnert mich das fatal an die bisher bekannt gewordenen Vermutungen zur Entstehung der Dieselaffäre.
"Ist es möglich über eine Excel-Datei mit VBA´s Zugriff auf andere Rechner zu bekommen"
(Kurzer Einschub: Falls die "Datensammlung" zufällig auch persönliche Daten der Kollegen umfassen sollte (z.B. Geburtstage, geplante oder tatsächliche Abwesenheiten wie Urlaub, Krankheitstage), besteht ein Problem mit dem Datenschutz, das ich unter anderen Umständen als "gewaltig" bezeichnen würde. Gegenüber dem, was gleich folgt, verblasst das allerdings völlig, deshalb nur als Randnotiz.)
Wenn die Kollegen die Makros blind ausführen (wovon ich ausgehe): Ja. Ein Excel-Makro kann über einen nicht sehr komplizierten Umweg auch "richtige" Programme aus dem Internet nachladen, die dann mit den Rechten des angemeldeten Benutzers ausgeführt werden, d.h. alles können, was auch die vorm Rechner sitzende Person tun könnte. Dazu zählt auch das Abgreifen schutzbedürftiger Daten, sogar deren Verfälschung:
- Stellt einem Kunden statt 10000 Euro nur 10000 Yen in Rechnung.
- Macht einem Lieferanten ein großzügiges verbindliches Angebot über die Lieferung von drei Tüten Gummibärchen zum Preis eines Kleinwagens.
- Ändert eine Bestellung von Transistoren des Herstellers A in die des Herstellers B, die mehr kosten, aber ungenauer gefertigt sind und dadurch höhere Ausfallquoten der von euch gefertigten Geräte zur Folge haben.
- Firmengelder werden unter Angabe nichtexistenter Bestellnummern auf Konten der krakosianischen Mafia überwiesen.
- Nebenbei wird per Rootkit der Virenscanner deaktiviert bzw. diesem ein schädlingsfreies System vorgegaukelt, mit den gekaperten Rechnern im Hintergrund Spam versendet und wenn euer Botnet mal Kapazitäten frei hat, auch an DDoS-Angriffen auf Erpressungsopfer (=andere Firmen) teilgenommen. Die Benutzer bekommen das erst dann mit, wenn die Polizei ans Firmentor klopft.
- Passwörter abzugreifen (oder deren Hashes, um sie später anderswo in Ruhe zu knacken) ist dann schon eine Kleinigkeit.
- Hier bitte selbsttätig ein beliebiges weiteres Horrorszenario einfügen.
Dafür ist es nicht einmal Voraussetzung, dass der Kollege, den du beschreibst, tatsächlich unlautere Absichten hätte. Allein die Tatsache, dass es
- Makros gibt, die unbesehen ausgeführt werden,
- kombiniert mit der Feststellung, dass es immer wieder Leute gibt, die auch in unverlangt zugesandten E-Mails auf alles klicken was sie sehen,
bedeutet, dass Malware sich in dem Excel-Dokument einnisten kann.
Ich dramatisiere und übertreibe ganz gewaltig?
- Aktuelle Antwort: Ja. Hoffentlich.
- Irgendwann hörst du unter vier Augen: Hm, vielleicht hatte der Spinner, dessen Posting du uns vor einigen Monaten ausgedruckt hattest, doch recht.
"und wie kann man das beenden, bestenfalls nachweisen?"
Generell halte ich es für erforderlich, erst einmal gemeinsam mit vertrauenswürdigen Vorgesetzten (eventuell bis hoch zur Führungsebene) festzustellen, ob und was bisher passiert ist, ohne dass unnötig zuviele Leute Wind davon bekommen - Tratsch erreicht irgendwann auch den Betreffenden, falls der wirklich seine Hände im Spiel haben sollte. Wenn jemand den Eindruck erweckt, dass er seine Zugriffsrechte missbraucht, wäre eventuell anzuraten, ihm baldigst alle entsprechenden technischen Rechte (Schreib- und Lesezugriff) zu entziehen, notfalls indem ihm bei Nachfrage etwas über technische Probleme vorgelogen wird. Es könnte nämlich sein, dass er einen schon im Vorfeld entworfenen Racheplan umzusetzen beginnt, wenn er befürchtet, aufgeflogen zu sein. Das könnte übrigens auch dann passieren, wenn er bei seinen eigenen Recherchen auf diese Frage stößt und sich darin wiedererkennt.
Dazu ist es eventuell sinnvoll, externen Sachverstand einzukaufen, der die Probleme aufzufinden und dann einzudämmen in der Lage ist - besonders aber nicht aufgrund persönlicher Bekanntschaft jemanden deckt, der im Verdacht steht, etwas unerlaubtes getan zu haben. Vermutlich wäre "IT-Forensik" ein guter Suchbegriff. Allerdings müsste eure Geschäftsführung so etwas absegnen, weil dadurch ja externe Personen Einblick in höchst geheimhaltungsbedürftige interne Daten erhalten und auch eventuelle weitere Mißstände ohne Bezug zu diesem Szenario entdecken könnten.
Es gibt in manchen Firmen interne Whistleblower-Möglichkeiten, die es anonym oder zumindest in vertrauenswürdiger Umgebung ermöglichen, solche Informationen loszuwerden, ohne selbst Sanktionen befürchten zu müssen.
----
Disclaimer.
Mir ist keine Firma aus eigener Erfahrung bekannt, die IT-Sicherheitsinspektionen anbietet, ich profitiere also nicht finanziell von meiner oben getätigten Schwarzmalerei.
Auch habe ich noch nie eine oben beschriebene Schadsoftware (oder sonst eine) geschrieben; aber dass das möglich wäre, genügt mir, um Bedrohungsszenarien zu entwickeln.
Ich habe noch nie ein Problem in der Größenordnung zu beheben versucht, in die sich das von dir geschilderte entwickeln könnte. Ich bin kein Sicherheitsexperte. Was ich hier geschrieben habe, entspringt im Zweifel nur meiner Kreativität im Entwerfen von "was würde ich tun, wenn ich böse wäre"-Szenarien und nur zu einem kleinen Teil meiner tatsächlichen Erfahrung bei der Vorbeugung/Identifizierung/Behebung kleinerer Sicherheitsprobleme aller Art.
Was du mit meiner Antwort anfängst, ist allein deine Sache, und falls du sie an andere weiterleitest, sind auch die aufgerufen, besser zweimal nachzudenken, bevor sie etwas tun, was ihnen eine anonymisierte Quelle im Internet geraten hat. Auch ich bin nämlich aus eurer Sicht nur ein Teil des "großen bösen Internets", und wenn ich euch nach dem Vortrag vieler plausibler Argumente letztlich dazu brächte, eine "Sicherheitssoftware XYZ" zu installieren, die mir zufällig nebenbei Rootzugriff auf eure Geräte gibt... dann wäre jeder meiner vorherigen sogenannten "Sicherheitstipps" und jede meiner geäußerten Mutmaßungen am Ende nur ein Baustein einer wirklich großartigen Leistung im Social Engineering gewesen.
Bei IT-Sicherheit, mehr als bei fast jeder anderen Problematik, kann ein kleiner Fehler (der auch darin bestehen kann, dem Falschen Glauben zu schenken) die übelst denkbaren Auswirkungen haben. Am eigenständigen Denken und der Frage, ob radikale Panikreaktionen angesagt sind oder doch eher Sorgfalt und kühles Abwägen der Kosten möglicher Maßnahmen gegen deren Nutzen, kommt besonders in problematischen Lagen (aber hoffentlich auch sonst) kein Entscheidungsträger vorbei.
Ich hafte also für gar nichts.
Anders ausgedrückt:
Glaube nichts.
Überprüfe alles.
Es gibt in VBA keine Funktion, die automatisch Passwörter knackt oder Accounts hackt. Ich bin mir nicht sicher, ob man via VBA einen Keylocker hinbekommt, der außerhalb von Excel aufzeichnen kann. Eher nicht. Und selbst dann: Du meldest Dich doch vorher an, bevor Du die Exceldatei öffnest, oder?
Schau Dir doch die Makros und Funktionen an, die er da so eingebaut hat (Ribbon Entwicklertools > VBA)
Die Sache mit der SAP Anmeldung kann ich so nicht glauben - wenn er die Passwörter ausspioniert hätte, wäre es doch sehr dämlich, diese in Excel VBA zu hinterlegen, was jeder dann nachprüfen könnte. Man kann sich in SAP auch mit Single-Sign-On anmelden und aus VBA das SAP Scripting starten. Wobei die IT Abteilung wohl nicht ganz auf der Höhe ist, wenn das aktiviert wäre.