arum Makro-Code signieren?
Makros (meist in VBA geschrieben) automatisieren in Excel, Word oder Outlook tägliche Aufgaben. Gleichzeitig gelten sie als potenzielle Einfallstore für Schadcode – viele Ransomware-Angriffe beginnen mit einem infizierten .xlsm-Dokument.
Deshalb blockieren immer mehr Unternehmen, Behörden und Virenscanner Makros – es sei denn, sie sind digital signiert.
Die Signatur stellt sicher, dass:
- das Makro von einer bekannten Quelle stammt
- der Code seit der Freigabe nicht verändert wurde
- es eine nachvollziehbare technische Verantwortlichkeit gibt
Welche Dateien sind betroffen?
Folgende Office-Dateitypen können (und sollten) signiert werden:
.xlsm,.xltm,.xlsb,.xla,.xlam(Excel).docm,.dotm(Word).pptm,.potm(PowerPoint).otm(Outlook)
Wichtig: Signiert wird nur der Makro-Code, nicht die restliche Datei.
Voraussetzungen für die Signatur
Sie benötigen:
- ein gültiges Code Signing-Zertifikat (PFX-Datei oder HSM-Integration)
- Microsoft Office (ab 2010 empfohlen)
- ggf. Zugriff auf das VBA-Entwicklertool („Entwicklertools“ aktivieren)
Schritt-für-Schritt: So signieren Sie ein Makro manuell
- Öffnen Sie die Datei mit Makros (z. B.
.xlsm) - Drücken Sie
ALT + F11, um den VBA-Editor zu öffnen - Gehen Sie auf Extras > Digitale Signatur
- Wählen Sie Ihr Zertifikat aus
- Speichern und schließen Sie den Editor
- Speichern Sie das Dokument
Die Signatur bleibt erhalten, solange der Code nicht verändert wird. Nach jeder Änderung muss neu signiert werden.
Signaturprüfung im Unternehmen: Trust Center
Unternehmen mit hohem Sicherheitsbedarf aktivieren in Office das sogenannte „Makros nur mit vertrauenswürdiger Signatur ausführen“. Das ist über Gruppenrichtlinien oder in den Office-Einstellungen möglich.
So lassen sich unsignierte Dateien automatisch blockieren.
Typische Probleme
- Signatur fehlt nach dem Speichern: Datei im falschen Format gespeichert (z. B.
.xlsxstatt.xlsm) - Zertifikat wird nicht gefunden: Zertifikat nicht korrekt installiert oder falsches Format
- Signatur ungültig: Datei nach der Signierung verändert oder Systemdatum nicht korrekt
- Fehlermeldung bei GPO-Aktivierung: Zertifikat nicht in den „vertrauenswürdigen Herausgebern“ gespeichert
Signatur automatisieren: Unsere Lösung
Manuelle Signierung ist unpraktisch, wenn viele Dateien betroffen sind oder der Code regelmäßig aktualisiert wird. Unsere Lösung erkennt Makrodateien automatisch, prüft sie auf potenziellen Schadcode und signiert sie regelbasiert:
- Automatische Signierung ganzer Ordner oder Netzlaufwerke
- Prüfung auf riskante Befehle vor Signatur
- Nutzung eigener Zertifikate (lokal oder per HSM)
- Reporting über signierte, abgelehnte und fehlerhafte Dateien
- Integration in bestehende Prozesse oder CI/CD-Pipelines möglich
Damit entfällt der manuelle Aufwand – und gleichzeitig wird sichergestellt, dass nur geprüfter, legitimer Code im Unternehmen verbreitet wird.
Fazit
Die Signierung von Makro-Code ist ein zentraler Bestandteil jeder modernen IT-Sicherheitsstrategie. Mit dem richtigen Werkzeug lässt sich der Prozess vollständig automatisieren – sicher, transparent und compliance-konform.
Image: https://pixabay.com/vectors/office-windows-word-excel-1356793/
Ich blogge über den Einfluss der Digitalisierung auf unsere Arbeitswelt. Hierzu gebe ich Inhalte aus der Wissenschaft praxisnah wieder und zeige hilfreiche Tipps aus meinen Berufsalltag. Ich bin selbst Führungskraft in einem KMU und Ich habe berufsgeleitend an der Universität Erlangen-Nürnberg am Lehrstuhl für IT-Management meine Doktorarbeit geschrieben.
