Suchbegruff eingeben

Dr. Dominic Lindner
am21. September 2025

WSH-Skripte: Warum das BSI JScript und VBScript abschalten will – und wie Sie sie trotzdem sicher prüfen und signieren

3. computer
4 min read

Sicherheit bei WSH-Skripten im Unternehmen

In diesem Artikel geht es um WSH-Skripte – und unten stellen wir Ihnen unsere Softwarelösung vor.
Windows Script Host (WSH) ermöglicht seit vielen Jahren die Ausführung von Skripten wie VBScript oder JScript direkt im Betriebssystem. Was für Administratoren praktisch ist, stellt gleichzeitig ein erhebliches Risiko dar: WSH-Skripte können tief ins System eingreifen, Dateien manipulieren, Prozesse starten oder Netzwerkeinstellungen verändern.

Während viele Unternehmen den Fokus auf PowerShell legen, sind klassische WSH-Skripte weiterhin im Einsatz – sei es in Altanwendungen, bei automatisierten Prozessen oder in Makros. Genau deshalb sollten auch sie denselben Sicherheitsstandards unterliegen wie moderne Skriptsprachen.

Warum WSH-Skripte noch immer relevant sind

Trotz moderner Alternativen wie PowerShell gibt es zahlreiche Gründe, warum VBScript und JScript noch in Unternehmen genutzt werden. Viele interne Tools, Legacy-Anwendungen oder Installationsroutinen setzen nach wie vor auf diese Technologien.

Der Nachteil: VBScript und JScript verfügen von Haus aus über keine besonders ausgeprägten Sicherheitsmechanismen. Ein unsigniertes Skript lässt sich problemlos starten – und damit auch Schadcode. Für Angreifer ist das attraktiv, da sie bekannte Mechanismen missbrauchen können, ohne auf neuere Angriffsvektoren zurückgreifen zu müssen.

Genau hier setzen aktuelle Sicherheitsrichtlinien an: Skripte müssen überprüfbar, nachvollziehbar und manipulationssicher sein.

BSI-Empfehlungen zu VBScript und JScript

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) weist in verschiedenen Publikationen darauf hin, dass Skriptsprachen wie VBScript oder JScript in sicherheitskritischen Umgebungen nur eingeschränkt oder gar nicht zugelassen werden sollten.

Wichtige Empfehlungen lauten:

  • Unsignierte Skripte verbieten: Skripte dürfen ausschließlich ausgeführt werden, wenn sie digital signiert sind.
  • Skript-Ausführung kontrollieren: Einsatz von Gruppenrichtlinien oder Endpoint-Security, um Skriptlauf nur in definierten Kontexten zu erlauben.
  • Logging aktivieren: Jede Ausführung sollte protokolliert werden.
  • Alternativen prüfen: Wo möglich, sollte auf modernere Sprachen wie PowerShell migriert werden – allerdings ebenfalls abgesichert.

Trotz dieser Empfehlungen ist ein kompletter Verzicht nicht immer möglich. Deshalb stellt das Thema BSI VBScript die IT-Verantwortlichen vor die Aufgabe, alte Strukturen sicher weiterzubetreiben.

Unsere Software für die Prüfung von BSI Richtlinien - Link zum Testen findet sich unten.
Unsere Software für die Prüfung von BSI Richtlinien – Link zum Testen findet sich unten.

Angriffsvektoren durch WSH-Skripte

Angriffe über WSH-Skripte sind seit Jahrzehnten bekannt – viele erinnern sich an die berüchtigten VBScript-Viren der 2000er-Jahre. Doch auch heute noch nutzen Angreifer ähnliche Mechanismen, oft in modernisierter Form:

  • E-Mail-Anhänge: Ein unscheinbares .vbs– oder .js-File im Anhang wird geöffnet und führt direkt Schadcode aus.
  • Drive-by-Downloads: Skripte werden aus dem Internet geladen und lokal ausgeführt.
  • Laterale Bewegung: Angreifer, die bereits im Netzwerk sind, nutzen VBScript oder JScript, um sich unauffällig weiter auszubreiten.
  • Obfuskation: Skripte werden verschleiert, um Erkennungssysteme zu umgehen.

Besonders gefährlich ist, dass WSH-Skripte oft von Standard-Sicherheitsmechanismen übersehen werden, da sie auf den ersten Blick wie legitime Administrations- oder Installationsroutinen aussehen.

Authenticode-Signatur als Schutzmechanismus

Der wichtigste Schritt, um VBScript zu signieren, ist die Nutzung von Authenticode. Dieses Verfahren ist in Windows integriert und ermöglicht die digitale Signatur von Skripten mit einem Zertifikat.

Das Prinzip ist einfach:

  • Sie versehen Ihr Skript mit einer Signatur.
  • Beim Start überprüft Windows, ob die Signatur gültig und vertrauenswürdig ist.
  • Manipulationen am Code machen die Signatur ungültig und verhindern die Ausführung.

Gleiches gilt für JScript: Wer JScript prüfen möchte, sollte sicherstellen, dass jedes Skript vor Ausführung eine überprüfbare Signatur trägt.

Damit schaffen Sie nicht nur Schutz vor Schadcode, sondern auch Transparenz. Administratoren können jederzeit nachvollziehen, wer ein Skript erstellt und freigegeben hat.

Sichere Nutzung von VBScript und JScript

Neben der Signatur gibt es weitere Maßnahmen, die den sicheren Einsatz von WSH-Skripten unterstützen:

  1. Execution Policies nutzen: Auch wenn WSH selbst kein so differenziertes Modell wie PowerShell hat, lässt sich die Ausführung unsignierter Skripte per Gruppenrichtlinie blockieren.
  2. Regelmäßige Prüfung: Alle Skripte sollten regelmäßig auf verdächtige Befehle oder Muster untersucht werden – hier helfen automatisierte Tools.
  3. Zentrale Verwaltung: Statt Skripte dezentral auf Arbeitsplätzen abzulegen, ist ein zentraler, kontrollierter Speicherort sinnvoll.
  4. Protokollierung: Mit Logging lässt sich im Nachhinein nachvollziehen, welche Skripte wann gestartet wurden.

Zusammengefasst: VBScript signieren und JScript prüfen sind die Kernmaßnahmen – ergänzt durch organisatorische Regeln und zentrale Verwaltung.

Weiter unten im Artikel zeigen wir unsere Softwarelösung

Die Praxis zeigt: Viele Unternehmen setzen diese Maßnahmen nur teilweise um. Skripte werden manuell signiert, Prüfprozesse sind inkonsistent und es fehlt eine klare Übersicht, welche Skripte im Umlauf sind.

Das Risiko: Unsignierte Skripte gelangen trotz Verbots in Umlauf, werden unbemerkt manipuliert oder lassen sich im Ernstfall nicht eindeutig einem Ersteller zuordnen.

Hier hilft eine zentrale Lösung, die Signatur- und Prüfprozesse automatisiert, dokumentiert und in bestehende IT-Sicherheitsstrukturen integriert.

Organisatorische Herausforderungen

Neben der technischen Umsetzung spielen organisatorische Fragen eine Rolle:

  • Wer darf signieren? Nicht jeder Administrator sollte Zertifikate nutzen dürfen. Rollenbasierte Konzepte sind wichtig.
  • Wie werden Skripte freigegeben? Ein klarer Workflow mit Vier-Augen-Prinzip schützt vor versehentlichen Freigaben von Schadcode.
  • Wie bleiben Prozesse effizient? Je komplizierter die Signatur wird, desto größer die Gefahr, dass Mitarbeiter Umgehungslösungen finden.

Hier zeigt sich: Ein professionelles Tool, das die Abläufe vereinfacht, ist nicht nur sicherer, sondern auch praxistauglicher.

Praxisbeispiele aus Unternehmen

  1. Legacy-Software: Ein mittelständisches Unternehmen setzt noch immer Installationsroutinen auf Basis von VBScript ein. Durch die Signatur mit Authenticode und zentrale Verwaltung wird sichergestellt, dass nur geprüfte Skripte laufen.
  2. Sicherheitsvorfall: In einem Konzern wurde Schadcode über ein unsigniertes JScript eingeschleust. Erst durch die nachträgliche Einführung von Prüf- und Signaturrichtlinien konnten ähnliche Angriffe verhindert werden.
  3. Audit-Situation: Ein KRITIS-Betreiber musste im Audit nachweisen, dass alle eingesetzten Skripte abgesichert sind. Dank automatisierter Prüfberichte einer zentralen Lösung konnten die Anforderungen des Auditors erfüllt werden.

Diese Beispiele machen deutlich: Ohne Signatur und Prüfung bleibt der Einsatz von WSH-Skripten ein erhebliches Risiko.

Vorteile einer zentralen Softwarelösung

Eine spezialisierte Lösung bietet mehrere Vorteile:

  • Automatisierte Prüfung: Verdächtige Befehle oder Muster werden erkannt, bevor ein Skript signiert wird.
  • Konsistente Signatur: Alle Skripte werden mit denselben Zertifikaten und Prozessen signiert.
  • Audit-Tauglichkeit: Prüfberichte und Signatur-Logs liefern Nachweise für Audits oder Compliance-Anforderungen.
  • Einfache Integration: Anbindung an bestehende CI/CD-Pipelines oder Deployment-Systeme.
  • Unterstützung mehrerer Sprachen: Neben VBScript und JScript können auch VBA oder PowerShell-Skripte abgesichert werden.

So kombinieren Sie technische Sicherheit mit organisatorischer Effizienz.

Fazit: Sicherheit für Alt und Neu

Auch wenn VBScript und JScript nicht mehr die modernsten Technologien sind, bleiben sie im Unternehmensalltag präsent. Gerade deshalb ist es wichtig, sie abzusichern und die Empfehlungen des BSI konsequent umzusetzen.

Mit Authenticode-Signaturen, konsequenter Prüfung und zentraler Verwaltung lassen sich Risiken erheblich reduzieren. Gleichzeitig schaffen Sie die notwendige Compliance, um Audits zu bestehen und Sicherheitsvorfälle zu vermeiden.

Unsere Software prüft neben VBA auch VBScript und JScript auf Schadcode und Signatur.

Script-Prüfung & Signatur – unsere Softwarelösung

Wir haben eine Software, die jede Art von Skript (z. B. PowerShell, Python, Batch, WSH, Office) auf Schadcode prüft und signiert – und wir führen sie Ihnen gern live vor.

Hier geht es zur Online-Demo. Melden Sie sich gern bei uns für eine individuelle Vorführung.

Zusätzlich unterstützen wir Sie bei der Ablösung von Makros und Skripten – von der Bestandsaufnahme bis zur sicheren Migration. Nehmen Sie gerne Kontakt auf!

Online-Demo ansehen

https://pixabay.com/illustrations/computer-computer-code-programming-1836330

https://agile-unternehmen.de/powershell-skripte-pruefen-signieren-tools-und-software-im-vergleich

PowerShell sicher nutzen: Signieren, Logging und AMSI im Unternehmenseinsatz
Dr. Dominic Lindner
am21. September 2025
Share
Siegelagileunternehmenumwelt      agileunternehmenchartadervielfalt

Weitere Artikel in dieser Kategorie

Information: Gastartikel | Guestarticle | Artikelplatzanfrage | Article Placement | Sponsered Post | Content Collaboration | Bezahlter Blogartikel | Paid Blogpost

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen