Eine wichtige Schutzfunktion fehlt, deshalb können Emotet und Office 365 leicht zu einer gefährlichen Kombination für Unternehmen werden. Der Trojaner wird fast immer mit Hilfe von Microsoft Office-Dateien verbreitet. Diese führen sogenannte Makros aus, also kleine Programme innerhalb der Dateien. Dadurch wird der betroffene Computer infiziert, was in einem Unternehmen schnell zu hohen Schäden führen kann.
Um die eigene IT-Infrastruktur zu schützen, können Firmen das Ausführen von Makros einfach ausschalten. Diese Maßnahme wird auch vom Bundesamt für Sicherheit in der Informationstechnik empfohlen. Leider funktioniert das Abschalten jedoch nur unter Office Professional Plus wirklich zuverlässig.
Bei den beliebten Business-Versionen von Office 365 hat Microsoft den Schutz hingegen eingeschränkt. Das kann zu einem großen Loch in den Sicherheitsmaßnahmen führen. Bei einem Wechsel – zum Beispiel zu Office 365 Business Premium – werden die Administratoren zudem nicht über dieses Problem informiert. In der Praxis können daher selbst gut geschützte Nutzer ihren PC durch einige falsche Klicks infizieren.
Günstige Lizenzen problematisch für Emotet und Office 365
Auf den ersten Blick wirkt diese Lücke bei der Sicherheit wie ein Problem, das mit dem nächsten Update geschlossen werden sollte. Allerdings scheint es von Microsoft durchaus gewollt zu sein. Betroffen sind nämlich die relativ günstigen Business-Versionen. Bei den teureren Enterprise-Versionen ist das Abschalten von Makros für die Administratoren hingegen kein Problem. Das wird sogar in der Dienstbeschreibung dokumentiert.
Insgesamt gewinnt man so also leicht den Eindruck, dass es Microsoft in erster Linie darum geht, höherwertige Lizenzen zu verkaufen. Diese bieten den Kunden zwar durchaus einen Mehrwert, viele Nutzer benötigen die darin enthaltenen Funktionen jedoch gar nicht. Für sie ist die Business-Variante im Prinzip absolut ausreichend.
Die zusätzlichen Kosten, die bei einer Infektion durch Emotet auf ein Unternehmen zukommen, spielen bei dieser Kalkulation jedoch erst einmal keine Rolle. Alles in allem sollten die Verantwortlichen also gut darauf achten, wie sie das eigene Unternehmen umfassend schützen können.