Office hat diesen inhalt blockiert weil er eine anmeldemethode verwendet, die unsicher sein könnte

Outlook bietet eine Sicherheitsfunktion, die Anlagen blockiert, durch die Ihr Computer Viren oder anderen Risiken ausgesetzt wird. Zwar blockiert Outlook den Zugriff auf diese Anlage, doch die Anlage ist weiterhin in der E-Mail-Nachricht enthalten.

Für Einsteiger:
Mithilfe eines Dateikomprimierungsprogramms die Dateinamenerweiterung ändern Bitten Sie den Absender, die Datei mit einem Dateikomprimierungsprogramm wie WinZip zu komprimieren. Dadurch wird eine komprimierte Archivdatei mit einer anderen Dateinamenerweiterung erstellt. Outlook erkennt diese Dateinamenerweiterungen nicht als potenzielle Bedrohungen. Deshalb wird die neue Anlage nicht blockiert. Wenn der Absender Ihnen die neue Anlage erneut sendet, können Sie sie auf Ihrem Computer speichern und anschließend mit dem Dekomprimierungsprogramm eines anderen Anbieters entpacken. Sollte Ihnen kein Dateikomprimierungsprogramm zur Verfügung stehen, können Sie auch den Absender bitten die Datei in eine nicht schädliche Dateiendung umzubenennen. (z.B. .doc welches für Word steht)

Sie können dann die Datei bei Ihnen auf dem Computer speichern und wieder in die richtige Dateiendung umbenennen.

für Erfahrene Benutzer:
Anpassen des Sicherheitsverhaltens von Anlagen

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Unter Windows XP und Windows Server 2003 eine Sicherungskopie der Registrierung erstellen und die Registrierung bearbeiten und wiederherstellen.

Befolgen Sie diese Anweisungen zum Ändern der Registrierung und des Outlook-Sicherheitsverhaltens von Anlagen.

1. Beenden Sie Outlook, sofern es gerade ausgeführt wird.
2. Klicken Sie auf Start und anschließend auf Ausführen. Geben Sie den folgenden Befehl in das Feld Öffnen ein (Sie können ihn auch kopieren und einfügen). Drücken Sie anschließend die EINGABETASTE:

regedit

1. Überprüfen Sie, ob der folgende Registrierungsschlüssel für Ihre Outlook-Version existiert.

Microsoft Office Outlook 2013

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security

Microsoft Office Outlook 2010

HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security

Microsoft Office Outlook 2007

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security

Microsoft Office Outlook 2003

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Security

Sofern der Registrierungsschlüssel vorhanden ist, fahren Sie mit Schritt 5 fort.

Falls der Registrierungsschlüssel nicht vorhanden ist, erstellen Sie ihn wie folgt:

1. Klicken Sie auf den folgenden Registrierungsschlüssel:

HKEY_CURRENT_USER\Software\Microsoft

1. Klicken Sie im Menü Bearbeiten auf Neu und anschließend auf Schlüssel.
2. Geben Sie Office ein, und drücken Sie anschließend die [EINGABETASTE].
3. Klicken Sie im Menü Bearbeiten auf Neu und anschließend auf Schlüssel.

Geben Sie für Outlook 2013 15.0 ein, und drücken Sie die EINGABETASTE.

Geben Sie für Outlook 2010 14.0 ein, und drücken Sie die EINGABETASTE.

Geben Sie für Outlook 2007 12.0 ein, und drücken Sie die EINGABETASTE.

Geben Sie für Outlook 2003 11.0 ein, und drücken Sie die EINGABETASTE.

1. Klicken Sie im Menü Bearbeiten auf Neu und anschließend auf Schlüssel.
2. Geben Sie Outlook ein, und drücken Sie anschließend die [EINGABETASTE].
3. Klicken Sie im Menü Bearbeiten auf Neu und anschließend auf Schlüssel.
4. Geben Sie Security ein, und drücken Sie anschließend die [EINGABETASTE].

1. Klicken Sie auf Bearbeiten, dann auf auf Neu und schließlich auf Zeichenfolge.
2. Geben Sie den folgenden Namen für den neuen Wert ein (Sie können den Namen auch kopieren und einfügen):

Level1Remove

1. Drücken Sie die [EINGABETASTE].
2. Klicken Sie mit der rechten Maustaste auf den neuen Zeichenfolgenwert, und klicken Sie anschließend auf Ändern.
3. Geben Sie die Dateinamenerweiterung des Dateityps ein, den Sie in Outlook öffnen möchten. Beispiel:

.exe

Verwenden Sie das folgende Format, um mehrere Dateitypen anzugeben:

.exe;.com

1. Klicken Sie auf OK.
2. Beenden Sie den Registrierungs-Editor.
3. Starten Sie den Computer neu.

Wenn Sie Outlook starten, können Sie die in der Registrierung angegebenen Dateitypen öffnen.

Hinweis Es wird empfohlen, nur die erforderlichen Dateitypen zu aktivieren. Wenn Sie einen bestimmten Dateityp nur selten empfangen, wird empfohlen, Outlook einen temporären Zugriff auf den betreffenden Dateityp zu gewähren. Konfigurieren Sie Outlook anschließend so neu, dass der Dateityp blockiert wird, indem Sie die Änderungen an der Registrierung rückgängig machen. Weitere Informationen darüber, wie Sie Outlook so konfigurieren, dass Dateinamenerweiterungen von Anlagen blockiert werden, die Outlook standardmäßig nicht blockiert, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
837388 Konfigurieren von Outlook, sodass zusätzliche Anlagen mit bestimmten Dateinamenerweiterungen blockiert werden.

Excel- und Word-Makros gehören zu den populärsten Anwendungen überhaupt. Fort­geschrittene Benutzer in den Fach­abteilungen können mit VBA schon relativ rasch eine maß­geschneiderte Lösung für ihre Bedürf­nisse basteln. Aus diesem Grund kommt für die meisten Firmen ein komplettes Deaktivieren von Makros nicht in Frage.

Schädliche Makros weiterhin eine Bedrohung

Diesem Nutzen steht allerdings seit Jahren die Gefahr von bösartigen Makros entgegen. Obwohl Microsoft im Lauf der Zeit verschiedene Abwehr­mechanismen entwickelt hat, konnte diese Bedrohung nie ganz gebannt werden. Die kürzliche Verbreitung von Emotet, das Rechner über Makros infiziert, zeigt vielmehr, dass viele Systeme und User immer noch für solche Angriffe anfällig sind.

Eine Lektion aus dieser Epidemie besteht auch darin, dass Viren­scanner alleine keinen aus­reichenden Schutz bieten. Vielmehr empfehlen sich mehrere vorbeugende Maßnahmen, wie etwa das Whitelisting für Applikationen. Unverzichtbar ist zudem eine wirksame Kontrolle von Office-Makros.

Zentrale Policies für Office-Makros

Grundsätzlich können Anwender dafür das Trust Center von Office verwenden. Dort lassen sich Regeln zur Ausführung von aktiven Inhalten wie ActiveX-Controls, Add-ins und VBA-Code definieren.

Angesichts der großen Bedeutung, die dem Schutz gegen Malware zukommt, wird man diese Aufgabe aber nicht den End­benutzern überlassen. Vorzuziehen ist dafür eine zentrale Lösung auf Basis von Gruppen­richtlinien. Sie bieten seit der Version 2016 zusätzliche Einstellungen für das Management von Makros.

Bei Office 365 Business hingegen kann man die Anwendungen generell nicht über GPOs verwalten. Hier kann man sich mit den Group Policy Preferences behelfen.

Administrative Vorlagen installieren

Falls die admini­strativen Vorlagen für Office noch nicht installiert sind, dann lädt man sie hier von Microsofts Website herunter.

Anschließend entpackt man sie unter %systemroot%\PolicyDefinitions auf der Admin-Workstation oder im Central Store auf einem Domain Controller. Die ADMX-Dateien sind für Office 2016 und 2019 identisch, GPOs für 2016 funktionieren auch mit der Version 2019.

VBA ganz deaktivieren

Eine radikale Maßnahme, die für die meisten Unternehmen aber wohl zu weit geht, besteht darin, VBA komplett zu deaktivieren. Die entsprechende Einstellung ("VBA für Office-Anwendungen deaktivieren") lässt sich sowohl für Computer als auch Benutzer konfigurieren. Sie findet sich unter Computer- bzw. Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Microsoft Office 2016 => Sicherheits­einstellungen.

Wer jedoch VBA-Makros benötigt und sich gegen Schadcode schützen möchte, kann ihre Ausführung stattdessen gezielt einschränken. Hier liegt es nahe, nur signierte Makros zuzulassen. Dies muss man allerdings pro Anwendung tun.

Die zuständige Option heißt Einstellungen für VBA-Makrobe­nach­richtigungen. Für Word findet sie sich beispielsweise unter Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Microsoft Word 2016 => Word-Optionen => Sicherheit => Trust Center.

Sie bietet 4 Auswahl­möglichkeiten an, wobei Alle Makros aktivieren keinen Sinn hat, wenn man die Sicherheit erhöhen möchte. Ähnliches gilt für Alle Makros ohne Benachrichtigung deaktivieren, weil damit eine ähnliche Wirkung erzielt wird wie mit dem Deaktivieren von VBA. Bleiben Alle Makros mit Benachrichtigung deaktivieren und Alle Makros außer digital signierten Makros deaktivieren.

Die erste der beiden Optionen ist die Voreinstellung von Office und führt dazu, dass alle Makros blockiert werden. Allerdings erhält der Anwender in der Benach­richtigungs­leiste einen ent­sprechenden Hinweis und zudem die Möglichkeit, den Code auszuführen, indem er auf Inhalt aktivieren klickt.

Für zusätzliche Sicherheit erlaubt man hier nur signierte Makros. Unsignierter Code wird dann einfach unterdrückt, während der Anwender signierte Makros explizit starten muss. Damit reduziert man das Risiko von Fehlent­scheidungen der User bei gezielten Angriffen, weil sie Code aus unbe­kannter Herkunft nicht zulassen können.

Allerdings kann eine solche Beschränkung hinderlich sein, wenn zum Beispiel viele bewährte, aber unsignierte Makros in der Firma vorhanden sind.

Keine Makros aus dem Internet ausführen

Neu hinzuge­kommen in Office 2016 ist die Möglichkeit, nur Code in solchen Dokumenten zu blockieren, die aus dem Internet stammen. Auch sie wird für jede Anwendung separat konfiguriert und findet sich ebenfalls unter Sicherheit => Trust Center ("Ausführung von Makros in Office-Dateien aus dem Internet blockieren").

Damit lassen sich nicht signierte Makros aus internen Quellen weiterhin nutzen, wogegen auch signierte Makros aus dem Internet nicht laufen (schließlich könnte auch Malware signiert sein). Allerdings könnte man durch die Kombination beider Einstellungen auch dafür sorgen, dass keine Makros aus dem Internet und nur signierte aus anderer Herkunft laufen.

Office erkennt den Ursprung von Dateien im Internet durch die Zonen­information, die der Attachment Execution Service (AES) hinzufügt. Das erfolgt immer dann, wenn Doku­mente von Outlook, Internet Explorer oder ähnlichen Anwendungen herunter­geladen werden.

Per Vorein­stellung zeigen die Office-Programme solche Dokumente in der geschützten Ansicht. Klickt man dort auf Bearbeitung aktivieren, dann greift im nächsten Schritt eine der Maßnahmen, die man gegen die unkontrollierte Ausführung von Makros ergriffen hat. Diese kann im Blockieren von unsignierten Makros bestehen oder von allen, die aus dem Internet stammen.

Vertrauenswürdige Speicherorte

Lässt man nur die Ausführung von signiertem Code zu, dann kann dies zu restriktiv sein. Um bekannt sichere, aber unsignierte Makros dennoch starten zu können, kann man die betreffenden Doku­mente in Verzeich­nissen ablegen, die man als vertrauens­würdig einstuft.

Bei diesem Mechanismus ist jedoch Vorsicht geboten, weil er die oben beschriebenen Maßnahmen zum Schutz gegen schädliche Makros aushebelt. Das trifft auch auf Dokumente aus dem Internet zu, die dann trotz Sperre durch ein GPO alle Makros ausführen.

Wenn etwa ein Benutzer auf die Idee kommt, sein Downloads-Verzeichnis im Trust Center als vertrauens­würdig zu markieren, dann ist grund­sätzlich die Bahn frei für alle Makros in heruntergeladenen Dokumenten.

Deshalb sollte man tunlichst dafür sorgen, dass solche Speicherorte nur über GPOs und nicht durch den User festgelegt werden. Dazu deaktiviert man die Einstellung Mischung aus Richtlinien- und Benutzerspeicherorten zulassen. Sie findet sich unter Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Microsoft Office 2016 => Sicherheits­einstellungen => Trust Center. Sie gilt somit für alle Anwendungen.

Dort kann man dann gleich die Verzeichnisse hinzufügen, die global als vertrauens­würdig gelten sollen. Allerdings kann man diese auch für jede einzelne Anwendung ebenfalls unter Trust Center definieren.

Überprüfung durch Virenscanner erzwingen

Schließlich gibt es noch zwei Einstellungen, die weniger für die interaktive Nutzung von Office gedacht sind. Zum einen handelt es sich dabei um einen Schutz gegen Makros beim Steuern von Office-Programmen durch externe Anwendungen oder Scripts ("Automati­sierungs­sicherheit" unter Trust Center von Microsoft Office 2016).

Zum anderen kann man erzwingen, dass verschlüsselte Makros vor ihrer Ausführung durch einen Virenscanner überprüft werden. Wenn ein solcher nicht vorhanden ist, dann lässt sich hier festlegen, dass solche Makros nicht starten.