Puschmann IT- und Websolutions

SVG-Datei im E-Mail-Anhang: Warum das gefährlich ist und wie Sie sich schützen

Inhalt

Eine Mail mit einer angeblichen Rechnung im Anhang. Der Anhang sieht aus wie ein PDF, ist es aber nicht. Die Dateiendung lautet .svg. Wer da nicht genau hinschaut, öffnet die Datei im Browser und landet auf einer gefälschten Microsoft-365-Anmeldeseite. Passwort eingegeben, Zugangsdaten weg. Das ist kein Einzelfall.

SVG-basierte Phishing-Angriffe haben sich in 2025 verfünffacht. Und die meisten Unternehmen wissen noch nicht einmal, dass dieses Format überhaupt als Angriffsvektor existiert. Dieser Artikel erklärt was dahintersteckt und was Sie konkret tun können.

Was ist eine SVG-Datei überhaupt?

SVG steht für Scalable Vector Graphics. Anders als ein JPEG oder PNG, das aus einzelnen Bildpunkten besteht, beschreibt eine SVG-Datei Grafiken als Text in XML-Format. Das bedeutet: Keine Pixel, sondern Anweisungen. „Zeichne einen roten Kreis an Position X mit Radius Y.“

Dieses Format wird überall eingesetzt: Logos auf Websites, Icons in Apps, Illustrationen in Dokumenten. Im Browser wird die Datei direkt gerendert, ohne zusätzliche Software.

Das ist der Kern des Problems: Weil SVG auf XML basiert, kann die Datei nicht nur Grafikanweisungen enthalten, sondern auch JavaScript-Code. Und genau das nutzen Angreifer aus.

Warum sind SVG-Anhänge so gefährlich?

Eine normale Bilddatei ist passiv. Sie zeigt etwas an, mehr nicht. Eine SVG-Datei kann aktiv Code ausführen, sobald sie im Browser geöffnet wird. Das ist keine Sicherheitslücke, das ist ein Feature des Formats, das missbraucht wird.

Typische Angriffsmuster in SVG-Dateien:

  • Redirect-Angriff: Die SVG sieht aus wie eine Rechnung oder ein Dokument, führt im Hintergrund aber einen JavaScript-Befehl aus, der den Browser sofort auf eine gefälschte Anmeldeseite weiterleitet.
  • Eingebettete Phishing-Seite: Die SVG enthält eine komplette gefälschte Login-Maske direkt in der Datei, zum Beispiel als Microsoft-365-Klon. Wer seine Zugangsdaten eingibt, schickt sie direkt an die Angreifer.
  • Malware-Download: Die SVG enthält ein Base64-codiertes ZIP-Archiv mit Schadsoftware, das automatisch entpackt und ausgeführt wird.
  • CAPTCHA-Trick: Manche Varianten blenden eine CAPTCHA-Abfrage ein, um den Eindruck von Legitimität zu erzeugen und automatische Sicherheitsanalysen zu umgehen.

Besonders tückisch: Unter Windows öffnet sich eine SVG-Datei standardmäßig in Microsoft Edge, unabhängig davon welcher Browser sonst eingestellt ist. Wer Edge nicht aktiv mit Schutzerweiterungen ausgestattet hat, ist damit besonders exponiert.

Warum erkennen Sicherheitsprogramme das oft nicht?

Antivirenprogramme und E-Mail-Gateways sind darauf ausgelegt, bekannte Schadprogramme und verdächtige Dateitypen zu blockieren. Ausführbare Dateien (.exe), Office-Makros, komprimierte Archive – das sind die klassischen Angriffsfelder.

SVG-Dateien gelten als Bildformat und werden von den meisten Sicherheitslösungen nicht tief analysiert. Der Schadcode steckt im XML-Text, nicht in einer erkennbaren Malware-Signatur. Analysen zeigen, dass bösartige SVG-Dateien auf Virustotal-Scans häufig nur ein oder zwei Erkennungen haben – von dutzenden geprüften Sicherheitslösungen.

Das macht SVG-Phishing so effektiv: Die Datei passiert Filter, die sonst sehr zuverlässig arbeiten.

So erkennen Sie verdächtige SVG-Anhänge

Der wichtigste Schutzmechanismus ist das geschulte Auge. Hier worauf ich bei E-Mails achte:

  • Absenderadresse genau prüfen, insbesondere die Domain hinter dem @-Zeichen. Anzeigename und tatsächliche Adresse können völlig verschieden sein.
  • Anrede beachten: Persönliche Anrede oder unpersönliches „Sehr geehrter Kunde“? Letzteres ist ein Warnsignal.
  • Inhalt und Schreibstil kritisch bewerten. Durch KI-Unterstützung sind Phishing-Mails heute oft sprachlich kaum noch von echten zu unterscheiden.
  • Ist diese Mail zu erwarten? Eine Rechnung für etwas das ich nicht bestellt habe? Ein Fax von einem unbekannten Absender?
  • Links nicht direkt anklicken. Mit der Maus darüber fahren und die tatsächliche Zieladresse in der Statusleiste prüfe.
  • SVG-Anhänge von unbekannten Absendern grundsätzlich nicht öffnen. Dieses Format ist als legitimer E-Mail-Anhang extrem selten.
  • Bei Zahlungsaufforderungen: Direkt ins Portal einloggen, nie über einen Link in der Mail.
  • Zeitdruck ist ein Warnsignal. Angreifer erzeugen bewusst Dringlichkeit um schnelle, untergebrachte Reaktionen zu provozieren.
  • Wenn doch etwas passiert ist: Sofort reagieren, IT-Abteilung oder IT-Dienstleister informieren, Passwort sofort ändern.

Was Unternehmen technisch tun können

Neben der Sensibilisierung der Mitarbeiter gibt es technische Maßnahmen die das Risiko deutlich senken:

  • SVG-Anhänge auf dem Mail-Gateway blockieren oder in Quarantäne verschieben: Da SVG als legitimer E-Mail-Anhang kaum vorkommt, ist das eine Maßnahme mit geringem Kollateralschaden. Wer SVG-Dateien benötigt, kann Ausnahmen für bekannte Kommunikationspartner konfigurieren.
  • E-Mail-Sicherheitslösungen mit Deep-Content-Inspection einsetzen: Moderne Lösungen analysieren Anhänge nicht nur auf Dateityp und Signatur, sondern untersuchen aktive Inhalte wie JavaScript.
  • Browser-Einstellungen: SVG-Dateien so konfigurieren, dass sie standardmäßig in einem Texteditor statt im Browser geöffnet werden. Dann wird kein Code ausgeführt.
  • Mitarbeiter-Schulungen: Regelmäßige Security-Awareness-Trainings mit aktuellen Beispielen. Phishing-Simulationen helfen dabei, das Bewusstsein praxisnah zu schärfen.
  • Multi-Faktor-Authentifizierung (MFA) für alle wichtigen Zugänge: Selbst wenn Zugangsdaten gestohlen werden, reichen sie allein nicht aus.
  • Monitoring und Alarmierung: Ungewöhnliche Anmeldeversuche oder Zugriffe außerhalb der Bürozeiten sollten automatisch gemeldet werden.

SVG-Phishing ist kein temporäres Phänomen. Das Format ist zu flexibel und die Erkennungsraten zu niedrig, als dass Angreifer davon ablassen würden. Mit den richtigen technischen Maßnahmen und geschulten Mitarbeitern lässt sich das Risiko aber erheblich reduzieren.

Häufige Fragen zu SVG-Malware

Kann ich eine SVG-Datei sicher öffnen?

Wenn Sie die Datei von einem bekannten, vertrauenswürdigen Absender erhalten haben und den Versand erwartet haben, ja. Bei unerwarteten SVG-Anhängen von unbekannten Absendern: Nein. Löschen Sie die Mail.

Reicht mein Antivirusprogramm als Schutz?

Nicht zuverlässig. Klassische Antivirusprogramme erkennen SVG-Schadcode oft nicht, weil sie das Format nicht tief analysieren. Ergänzende Maßnahmen wie Mail-Gateway-Filterung und Mitarbeitersensibilisierung sind notwendig.

Was mache ich wenn ich eine verdächtige SVG-Datei geöffnet habe?

Sofort alle Passwörter ändern, die möglicherweise eingegeben wurden. IT-Abteilung oder IT-Dienstleister informieren. Das betroffene Gerät vom Netzwerk trennen bis es untersucht wurde. Schnelles Handeln begrenzt den Schaden.

Wie erkenne ich ob eine SVG-Datei Schadcode enthält?

Öffnen Sie die Datei in einem Texteditor (nicht im Browser). Wenn Sie JavaScript-Code sehen, insbesondere Befehle wie window.location.replace oder atob(), ist die Datei mit hoher Wahrscheinlichkeit bösartig. Feuer eine zuverlässige Analyse empfehlen sich professionelle Sicherheitstools.

Puschmann IT- und Websolutions

Sie suchen einen zuverlässigen IT-Partner für die Konzeption, Einrichtung oder die laufende Betreuung Ihrer Systeme?
Vereinbaren Sie jetzt ein kostenloses Erstgespräch.

Kontakt
Weitere Informationen
Das könnte auch interessieren...
LinkedIn
Reddit
Email
WhatsApp
Telegram
Print

Kaffee rein, Content raus. Kein Paywall, kein Newsletter-Zwang – die Inhalte hier sind und bleiben kostenlos. Wenn dir ein Artikel weitergeholfen hat, freue ich mich über einen Kaffee.