Word-Dokumente: Warum Hacker die Bürosoftware lieben

Die vermeintlich harmlose Word-Datei entwickelt sich zum Hochsicherheitsrisiko für Unternehmen. Während russische Staatshacker längst überwunden geglaubte Schwachstellen ausnutzen, steht die nächste Bedrohungswelle bereits vor der Tür: KI-gesteuerte Angriffe, die Dokumente im industriellen Maßstab zur Waffe machen.

Neue Erkenntnisse von Sicherheitsforschern zeichnen ein alarmierendes Bild. Microsoft hat Office zwar gegen klassische Makro-Angriffe abgesichert, doch Angreifer weichen auf raffinierte Injektionstechniken und alternative Dateiformate aus. Was bedeutet das für Unternehmen? Die Zeit der vermeintlich sicheren Office-Vorlagen könnte bald vorbei sein.

Der unsichtbare Angriff: Wenn Vorlagen Passwörter stehlen

Trotz jahrelanger Sicherheits-Updates bleibt die „Template Injection” eine gefährliche Waffe für professionelle Hackergruppen. Das Cybersecurity-Unternehmen SOCRadar enthüllte am 25. November Details zu den Methoden von Berserk Bear – einer russischen Hackergruppe, die dem FSB-Geheimdienst zugeordnet wird.

Anders als die lärmenden Makro-Viren vergangener Tage agiert Template Injection im Verborgenen. Die Technik funktioniert tückisch einfach: Angreifer verstecken einen Link zu einer entfernten Vorlage in einem Word-Dokument. Wenn das Opfer die Datei öffnet, versucht die Anwendung automatisch, diese Vorlage vom Server zu laden.

Viele Unternehmen unterschätzen Risiken durch lokale Word‑Vorlagen: Template Injection und das unsichtbare NTLM‑Hash‑Leck sind reale Angriffsvektoren. Eine einfache, wirkungsvolle Gegenmaßnahme ist die Umstellung auf Office im Web — browserbasierte Editoren laden keine entfernten SMB‑Vorlagen und neutralisieren diesen Angriffsweg. Unser kostenloser Report erklärt Schritt für Schritt, wie Sie Word, Excel & Co. sicher im Browser einsetzen und dabei Zusammenarbeit und Kompatibilität bewahren. Word & Excel legal im Browser nutzen – Gratis-Guide

Das eigentliche Problem: Zeigt der Link auf eine SMB-Netzwerkfreigabe statt auf einen Webserver, versucht Windows automatisch eine Authentifizierung. Dabei sendet das Betriebssystem den NTLM-Passwort-Hash des Nutzers direkt an den Angreifer – vollkommen unsichtbar im Hintergrund.

„Berserk Bear versucht gezielt, NTLM-Hashes abzufangen, Authentifizierungen auf Angreifer-Server zu erzwingen und lokale Passwort-Speicher auszulesen”, warnen die SOCRadar-Analysten. Diese Methode funktioniert ohne Klick auf „Inhalte aktivieren” oder das Ausführen verdächtiger Skripte – viele traditionelle Schutzmechanismen laufen ins Leere.

Warum dieser Angriffsweg so effektiv bleibt

• Tarnung als legitime Datei: Das Dokument enthält keinen Schadcode, sondern nur einen Verweis auf eine externe Ressource – klassische Virenscanner schlagen nicht an.
• Unsichtbare Ausführung: Der Authentifizierungs-Handshake läuft vollautomatisch ab, während das System versucht, den Dateipfad aufzulösen.
• Geschäftliche Notwendigkeit: Viele Organisationen können externes Vorlagen-Laden nicht einfach blockieren, da sie gemeinsame Corporate-Design-Vorlagen nutzen.

Die taktische Wende: Weg von Word-Makros

Während Template Injection weiterhin Passwörter stiehlt, verabschieden sich andere Hackergruppen komplett von Word-Makros. Am 27. November dokumentierten Forscher von Group-IB die Ausweitung der Bloody Wolf-Kampagne.

Die Gruppe zielt auf Regierungs- und Finanzorganisationen in Zentralasien – und hat ihre Strategie radikal geändert. Statt Word-Makros setzen die Angreifer jetzt auf PDF-Köder, die Opfer zum Download manipulierter Java-Archiv-Dateien (JAR) verleiten. Diese Loader installieren letztlich den NetSupport-Fernzugriffs-Trojaner.

Was bedeutet diese Entwicklung? Microsofts standardmäßige Blockierung von Internet-Makros zeigt Wirkung und zwingt Angreifer zum Umdenken. Doch die Konsequenz ist ernüchternd: „Dokumentensicherheit” kann sich nicht mehr auf das bloße „Deaktivieren von Makros” beschränken. Die Bedrohung hat sich ins umliegende Ökosystem verschoben – PDF-Reader, Java-Umgebungen und Browser-Downloads.

Zukunftsaussichten: KI industrialisiert den Dokumenten-Angriff

Über aktuelle Kampagnen hinaus zeichnet sich eine beunruhigende Entwicklung ab. In seinem Bericht Security Predictions for 2026, veröffentlicht am 27. November, warnt Trend Micro vor der „wahren Industrialisierung der Cyberkriminalität”.

Der Bericht prognostiziert, dass KI-Agenten bis 2026 die gesamte Angriffskette automatisieren werden. Für die Dokumentensicherheit bedeutet das konkret:

• Hyperpersonalisierte Phishing-Angriffe: KI generiert für jedes einzelne Ziel einzigartige, kontextbezogene Köder-Dokumente, die von legitimer Geschäftskorrespondenz nicht mehr zu unterscheiden sind.
• Automatisierte Waffenproduktion: KI-Tools identifizieren automatisch den effektivsten Exploit (ob Template Injection oder eine neue Zero-Day-Lücke) basierend auf der spezifischen Softwareversion des Ziels.
• Rasante Geschwindigkeit: Die Zeitspanne zwischen Bekanntgabe einer Schwachstelle und ihrer Ausnutzung über Dokumente schrumpft auf Minuten.

„Wir treten in eine Ära ein, in der KI-Agenten Schwachstellen ohne menschliches Zutun entdecken, ausnutzen und monetarisieren werden”, erklärt Ryan Flores, Leiter der zukunftsgerichteten Bedrohungsforschung bei Trend Micro.

Sichere Alternativen zu lokalen Vorlagen

Angesichts persistenter Legacy-Risiken und aufkommender KI-Bedrohungen empfehlen Sicherheitsexperten zunehmend den Wechsel von lokalen, dateibasierten Vorlagen zu Cloud-nativen Alternativen.

1. Cloud-native Editoren (Google Docs / Microsoft 365 Web)

Die effektivste Abwehr gegen lokale Template Injection ist der Umzug der Dokumentenbearbeitung in den Browser.

• Sicherheitsvorteil: Web-basierte Editoren wie Google Docs oder die Web-Version von Microsoft Word verarbeiten keine lokalen SMB-Pfade und führen VBA-Makros nicht auf die gleiche Weise aus wie Desktop-Anwendungen. Das Öffnen einer manipulierten Datei im Browser neutralisiert in der Regel den NTLM-Hash-Diebstahl, da der Browser keine Windows-Authentifizierung mit entfernten Dateifreigaben durchführt.
• Kompromiss: Erweiterte Formatierungsfunktionen und Legacy-Integrationen können im Vergleich zum Desktop-Client eingeschränkt sein.

2. PDF-Formulare mit eingeschränkten Berechtigungen

Für statische Dokumente (Rechnungen, Formulare) bleibt PDF bei korrekter Konfiguration der sicherere Standard.

• Sicherheitsvorteil: Anders als Word-Dokumente, die für dynamische Bearbeitung konzipiert sind, lassen sich PDFs absichern. Moderne PDF-Reader verfügen über „Protected Mode”-Sandboxen, die oft robuster sind als Words Protected View.
• Vorsicht: Wie der Fall Bloody Wolf zeigt, können PDFs trotzdem bösartige Links enthalten. Nutzerschulung bleibt unverzichtbar.

3. Markdown und textbasierte Workflows

Für interne Dokumentation wechseln technische Teams zu Markdown-basierten Plattformen wie Obsidian, Notion oder GitHub.

• Sicherheitsvorteil: Diese Formate sind reiner Text. Sie können weder Code ausführen, noch entfernte Vorlagen laden oder NTLM-Handshakes durchführen. Das „Active Content”-Risiko entfällt vollständig.

Sofortmaßnahmen für Word-Nutzer

Für Organisationen, die auf Desktop-Word angewiesen sind, sind folgende Härtungsmaßnahmen kritisch:

1. Ausgehenden SMB-Verkehr blockieren (Port 445): Firewalls sollten ausgehenden Traffic auf Port 445 ins Internet blockieren. Das verhindert, dass der NTLM-Hash das Netzwerk verlässt, selbst wenn eine Template Injection erfolgt.
2. NTLM deaktivieren: Wo möglich, auf Kerberos umstellen und NTLM-Authentifizierung deaktivieren, um Hash-Diebstahl zu verhindern.
3. Entfernte Vorlagen per Gruppenrichtlinie einschränken: Administratoren können Office-Gruppenrichtlinien so konfigurieren, dass Makros in Office-Dateien aus dem Internet blockiert werden und Vorlagen nur von vertrauenswürdigen Speicherorten geladen werden können.
4. „Protected View” nutzen: Sicherstellen, dass die geschützte Ansicht für alle Dokumente von außerhalb der Organisation erzwungen wird.

Was jetzt zu tun ist

Die Entwicklungen Ende November 2025 führen drastisch vor Augen: Ein Dokument ist nicht einfach eine Datei – es ist eine Ausführungsumgebung. Ob Berserk Bear versteckte Protokollverhalten ausnutzt oder Bloody Wolf auf Java-Loader ausweicht: Die Angriffsfläche entwickelt sich ständig weiter.

Da KI droht, das Tempo dieser Angriffe zu beschleunigen, legt die „Secure by Design”-Philosophie nahe: Die sicherste Dokumentenvorlage ist eine, die überhaupt keinen Code ausführen kann. Für viele Organisationen ist der Wechsel zu Cloud-nativen oder textbasierten Alternativen längst keine reine Produktivitätsentscheidung mehr – sondern ein Sicherheitsgebot.

PS: Beim Thema Dokumentensicherheit zahlt sich der Umstieg auf cloud‑native Editoren oft sofort aus. Unser Gratis-Guide zeigt, wie Sie OneDrive-Anmeldung, gemeinsame Vorlagen und Berechtigungen so konfigurieren, dass entfernte Vorlagen nicht mehr zum Risiko werden — ein praktischer Schutz gegen Template Injection und automatisierte KI‑Köder. Jetzt kostenlosen Office‑im‑Web-Guide herunterladen