Ratgeber

Word-, Excel- und PowerPoint-Makros erkennen

Office-Dateien können Makros, externe Vorlagen, Datenverbindungen, eingebettete Objekte und Kommentare enthalten. Besonders riskant sind Dateien aus unbekannten E-Mails oder Messenger-Chats.

Wann ist das relevant?

Relevant ist diese Prüfung immer dann, wenn eine Datei unerwartet kommt, aus E-Mail, Messenger, Download-Portalen oder KI-Workflows stammt oder vor dem Weiterleiten bereinigt werden soll.

Besonders wichtig ist der Schritt bei Dateien, die dringend wirken, von unbekannten Absendern kommen oder in Programmen geöffnet würden, die aktive Inhalte interpretieren.

Welche Risiken kann es geben?

Typische Risiken sind irreführende Dateinamen, aktive Inhalte, externe Nachladeziele, versteckte Metadaten, auffällige Archivpfade, unsichtbare Unicode-Zeichen und Prompt-Anweisungen für KI-Systeme.

Die konkrete Bewertung hängt vom Dateityp ab. ScanBeforeOpen zeigt deshalb Hinweise und Empfehlungen, verspricht aber keine vollständige Sicherheit.

Wie hilft ScanBeforeOpen?

Die Datei wird lokal im Browser geprüft. Es gibt keinen Upload und keine Ausführung der Originaldatei.

Das Ergebnis beginnt mit einer einfachen Empfehlung. Technische Details, sichere Vorschau und bereinigte Exporte stehen danach nur dort bereit, wo sie für den Dateityp sinnvoll sind.

Genau geprüft wird

OOXML wird lokal als ZIP-Struktur gelesen; Makrocontainer wie vbaProject.bin und makrofähige Endungen werden hoch gewichtet.

Externe Beziehungen, Datenverbindungen, OLE/ActiveX, eingebettete Objekte, Kommentare, customXml, docProps und versteckte Blätter werden getrennt bewertet.

XLSX kann als isolierte Tabellenblatt-Vorschau angezeigt werden. Formeln werden als Text dargestellt und nicht ausgeführt.

Makro-Hinweise

Achte auf Endungen wie .docm, .xlsm und .pptm sowie auf vbaProject.bin innerhalb von OOXML-Archiven.

Auch Content Types, ActiveX-Elemente und embeddings-Ordner sind wichtige Signale.

Externe Inhalte

Office-Dateien können externe Bilder, Templates, Workbooks oder Datenquellen referenzieren.

Solche Beziehungen sollten nicht automatisch geladen werden, weil sie Tracking, Datenabfluss oder gefährliche Nachladeaktionen ermöglichen können.

Versteckte Informationen

Kommentare, Notizen, Revisionen, versteckte Tabellenblätter und Dokumentmetadaten können vertrauliche Informationen enthalten.

Vor dem Weiterleiten oder KI-Upload lohnt sich eine gezielte Prüfung.

Sicherer Prüfablauf im Alltag

Beginne immer mit der Quelle: War die Datei erwartet, passt der Kontext, und lässt sich der Absender über einen zweiten Kanal bestätigen? Technische Findings sind besonders relevant, wenn der soziale Kontext nicht stimmt.

Prüfe danach Dateiname, Endung, Größe, Magic Bytes und sichtbare Warnhinweise. Öffne die Originaldatei nicht parallel in einem anderen Programm, während du noch bewertest.

Wenn du die Datei weitergeben musst, teile nach Möglichkeit einen bereinigten Export oder einen Bericht statt der Originaldatei. So reduzierst du Metadaten, aktive Inhalte und unbeabsichtigte Nachladeeffekte.

Wann du zusätzlich eskalieren solltest

Bei kritischen oder mehreren hohen Findings solltest du die Datei nicht direkt öffnen. Das gilt besonders für Bewerbungen, Rechnungen, Vertragsunterlagen, Archive und Dateien, die angeblich dringend bearbeitet werden müssen.

In Unternehmen sollte ein rotes Ergebnis an IT-Support oder Sicherheitsverantwortliche gehen. Privatnutzer sollten bei Unsicherheit einen professionellen Virenscanner oder eine isolierte Umgebung ergänzend nutzen.

Ein grünes Ergebnis bedeutet nur, dass keine auffälligen bekannten Risikomuster gefunden wurden. Es ist keine Garantie und ersetzt keine organisatorische Freigabe vertraulicher Inhalte.

Dokumentieren ohne Risiko zu verbreiten

Wenn du eine verdächtige Datei meldest, beschreibe Quelle, Dateiname, Zeitpunkt und Findings. Lade die Datei nicht unnötig in Chats oder fremde Online-Dienste hoch.

Screenshots oder ein lokaler Sicherheitsbericht reichen oft aus, um eine Entscheidung zu treffen, ohne die Originaldatei weiter zu verteilen.

Praktische Checkliste

  • Dateiendung prüfen
  • vbaProject.bin suchen
  • Externe Beziehungen prüfen
  • Kommentare und Metadaten kontrollieren
  • Datei bei Makro-Fund nicht direkt öffnen

Klare Grenzen

Alte binäre Office-Formate und passwortgeschützte Dateien lassen sich im Browser nur eingeschränkt analysieren.

FAQ

Sind Makros immer schädlich?

Nein, aber Makros sind aktive Inhalte und sollten nur aus vertrauenswürdigen Quellen ausgeführt werden.

Kann eine lokale Prüfung Makros entfernen?

Im MVP gibt sie Hinweise. Eine sichere Neuverpackung ohne Makros ist als spätere Funktion vorbereitet.

Warum lokal prüfen statt hochladen?

Lokale Prüfung reduziert Datenschutzrisiken, weil die Originaldatei auf deinem Gerät bleibt und nicht an einen fremden Dienst übertragen wird.