Warum Hardening im Office-/VBA-Bereich schwieriger ist als auf Servern
In vielen KMU, Kanzleien und Dienstleistern liegen produktive Fachbereichs-Tools in Excel oder Access. Sobald M365-/Intune-/GPO-Richtlinien auf „nur signierte Makros“ gestellt oder Standardwerte von Microsoft verschärft werden, steht der Fachbereich – obwohl das Tool sauber programmiert wurde. Hardening bedeutet hier nicht: „Richtlinien lockern“, sondern: Dateien, Herausgeber und Verteilwege so anpassen, dass die strenge Policy bestehen bleiben kann.
Sperre nach Update
M365 zieht nach, Office markiert Makro als unsicher – Fachbereich kann nicht mehr arbeiten.
IT will strikt bleiben
„Nur signierte Makros“ soll bleiben. Ausnahme-Listen sind keine Option.
Lieferkette fragt nach
Kunden oder Konzerne wollen sehen, dass Office-Automatisierungen kontrolliert sind.
Schatten-IT taucht auf
Lokale, unsignierte Dateien müssen entweder gehärtet oder ausgetauscht werden.
-
Policy bleibt bestehen Wir passen Dateien und Publisher an – nicht die Sicherheit.
-
Dokumentierbar Freigabenotiz & Änderungsdoku für NIS2/ISMS.
-
Verteilbar Trusted Publisher via GPO/Intune in die Breite.
Was wir beim Makro-/Office-Hardening prüfen
Ziel: signiert, vertrauenswürdiger Publisher, funktionierender Verteilweg.
Datei & Quelle
Excel, Word, Access, Add-ins, von intern oder extern geliefert – jeweils mit Prozessbezug.
Signatur-Stand (V2/V3)
Ist die Datei überhaupt signiert, passt der Algorithmus, greift „nur signierte Makros“?
Policy-Check M365/Intune/GPO
Welche Einstellung blockiert konkret – und auf welchen Clients?
Trusted Publisher/Lieferweg
Gibt es bereits einen vertrauenswürdigen Herausgeber oder muss er verteilt werden?
Freigabe-/Änderungsdoku
Kurz, technisch-organisatorisch formuliert, für Kunden oder Auditoren weitergebbar.
Risiko-/Ausnahmenmarker
"extern", "unsigniert", "lokal freigegeben" – damit klar ist, was nachgehärtet werden muss.
NIS2-Pakete für Office-/VBA-Umgebungen
Drei klar abgegrenzte Leistungen – technisch/organisatorisch, nicht juristisch.
Paket 1: Office-/VBA-Inventar für NIS2
Zweck: Wenn NIS2 für Ihr Unternehmen / Ihren Kunden bereits gilt und Sie jetzt wissen müssen, welche Office-/VBA-Dateien überhaupt erfasst werden sollen.
Leistung: 30–45 Min. Remote, Bereitstellung Inventar-Vorlage, Erfassung der produktiven Excel-/Word-/Access-/VBA-Dateien (Quelle, Speicherort, Fachbereich), Kennzeichnung „intern“, „extern/Kunde“, „unsigniert“.
Ergebnis: Eine Liste, die Sie in Ihre NIS2-/ISMS-Doku übernehmen können – ohne rechtliche Bewertung.
Größere Umgebungen auf Anfrage.
Paket 2: NIS2 Office Compliance-Set
Zweck: Wenn Auditor, Kunde oder Konzern Nachweise zu Ihren Office-/VBA-Tools haben will.
Leistung: Übernahme des Inventars (oder Paket 1), Ausarbeitung von Freigabenotiz- und Änderungsdoku-Mustern, Abgleich mit Ihren M365-/Intune-/GPO-Policies („nur signierte Makros“), Empfehlung für Trusted Publisher / interne Resignierung.
Ergebnis: Auditfähiges Office-/VBA-Paket, das Sie direkt beilegen können („so betreiben wir unsere Makros unter NIS2“).
Abhängig vom Umfang.
Paket 3: Managed NIS2 Makro-Betrieb
Zweck: Wenn regelmäßig neue oder geänderte Makros kommen und diese unter Ihren Policies weiterlaufen sollen.
Leistung: Laufende Prüfung & Re-Signatur von Office-/VBA-Dateien, Pflege der Freigabenotizen, Ticket-/Change-Doku, jährlicher Policy-/M365-Review („hat sich was geändert?“).
Ergebnis: Durchgängig dokumentierter, NIS2-orientierter Makro-Betrieb – ohne dass Sie intern Spezialwissen aufbauen müssen.
Abhängig von der Umgebungsgröße.
So laufen unsere Hardening-Einsätze ab
Remote-first, mit nachvollziehbarer Doku.
1. Kurz-Scoping
Welche Dateien sind betroffen, welche Policy blockiert, welches Ziel hat die IT?
2. Policy-Abgleich
M365-/Intune-/GPO-Vorgaben sichten – wir passen die Dateien daran an, nicht umgekehrt.
3. Bereinigen & signieren
V3-konforme Signatur, ggf. interne Resignierung, MOTW beachten.
4. Trusted Publisher verteilen
Über GPO/Intune in die Breite bringen, damit alle Clients die Datei akzeptieren.
5. Nachweise ausgeben
Technisch-organisatorische Freigabenotiz, weitergebbar an Kunden/Auditoren.
6. Optional: Managed Service
Für künftige Versionen denselben Prozess wiederholen, damit nichts „durchrutscht“.
Häufige Fragen zum Office-/Makro-Hardening
Fokus: lauffähig unter strenger Policy – nicht Rechtslage klären.
Nein. Ziel ist, dass Ihre aktuellen M365-/Intune-/GPO-Einstellungen bestehen bleiben. Wir bringen die betroffenen Office-/VBA-Dateien und die Herausgeber-Verteilung auf diesen Stand – nicht umgekehrt.
Ja. Dateien von Kunden oder Lieferanten werden als externe Quelle gekennzeichnet und können ggf. intern neu signiert werden. Wichtig ist, dass diese Dateien im Inventar/Nachweis auftauchen.
Nein. Wir setzen voraus, dass NIS2 oder eine vergleichbare Vorgabe bereits gilt oder von Ihrem Kunden gefordert wird. Wir liefern die technische und organisatorische Umsetzung für den Office-/VBA-Bereich. Eine rechtliche Prüfung kann auf Wunsch durch eine Kanzlei erfolgen.
Einzelne Störfälle können oft innerhalb von 24–48 Stunden wieder lauffähig gemacht werden, sofern die notwendigen Infos vorliegen (Datei, Ziel-Policy, Verteilweg).
Ja. Wir liefern eine technisch-organisatorische Dokumentation (Freigabenotiz, Änderungsdoku), die Sie weitergeben können, ohne interne Policy-Details offenzulegen.
Ja. Wenn Sie regelmäßig neue Versionen, neue Mandanten-Dateien oder M365-Änderungen haben, ist der Managed Service wirtschaftlicher als einzelne Ad-hoc-Fälle.
