SVG-Phishing: Wie harmlose Bild-Anhänge Zugangsdaten im Mittelstand stehlen
Eine vermeintliche Rechnung, eine angebliche Sprachnachricht oder ein Dokument zum Unterschreiben: Im Anhang steckt eine Bilddatei, die auf den ersten Blick völlig harmlos wirkt. Genau auf diese Erwartung setzen Angreifer bei einer Phishing-Masche, die Sicherheitsbehörden seit Monaten verstärkt beobachten. Der Trick nutzt das wenig bekannte Grafikformat SVG, und umgeht damit häufig genau die Schutzmechanismen, auf die sich viele Unternehmen verlassen.
Was steckt hinter SVG-Phishing?
SVG steht für Scalable Vector Graphics. Anders als ein Foto im JPG- oder PNG-Format besteht eine SVG-Datei nicht aus Bildpunkten, sondern aus beschreibendem Text im XML-Format, der dem Programm Anweisungen zum Zeichnen der Grafik gibt. Das hat einen praktischen Vorteil: Solche Grafiken lassen sich beliebig vergrößern, ohne unscharf zu werden. Logos und Symbole auf Webseiten liegen deshalb oft als SVG vor.
Das Problem: In dieser Textstruktur lässt sich auch JavaScript-Code einbetten, der ausgeführt wird, sobald die Datei in einem Browser geöffnet wird. Genau das machen sich Kriminelle zunutze. Das österreichische Computer Emergency Response Team CERT.at warnte bereits im Juni 2025 vor stark zunehmenden Kampagnen mit manipulierten SVG-Dateien als E-Mail-Anhang. Auch das IT-Fachportal heise security berichtete, dass seit Jahresbeginn nahezu alle Anbieter von E-Mail-Sicherheitslösungen einen Anstieg solcher Phishing-Mails melden.
Warum SVG-Anhänge klassische Filter umgehen
Der entscheidende Grund für den Erfolg der Masche liegt in einer Erkennungslücke. Viele Sicherheitslösungen prüfen SVG-Dateien nicht so gründlich wie ausführbare Programme oder Office-Dokumente mit Makros. Eine Bilddatei gilt vielen Filtern als unkritisch, und so gelangt der eingebettete Schadcode unbemerkt bis ins Postfach der Mitarbeitenden.
Hinzu kommt der psychologische Faktor. Wer eine Datei mit der Endung „.svg“ und einem Dateinamen wie „Rechnung_12345“ erhält, rechnet mit einem Bild oder einer Grafik, nicht mit einer aktiven Bedrohung. Diese Mischung aus technischer Erkennungslücke und falschem Sicherheitsgefühl macht die Methode so wirkungsvoll.
Wie ein typischer Angriff abläuft
Nach Darstellung von CERT.at folgen die Angriffe häufig einem mehrstufigen Muster:
- Das Opfer erhält eine E-Mail mit einer SVG-Datei im Anhang, etwa als angebliche Rechnung.
- Beim Öffnen wird, oft nach einer minimalen Interaktion, das eingebettete JavaScript ausgeführt.
- Teils zeigt die Datei direkt ein gefälschtes Login-Formular an oder leitet automatisch auf eine nachgebaute Anmeldeseite weiter, um Zugangsdaten abzugreifen.
- In anderen Fällen wird im Hintergrund Schadsoftware nachgeladen, beispielsweise ein Datendieb, der gezielt Zugangsdaten aus E-Mail-Programmen wie Microsoft Outlook ausliest.
Das Ziel ist nach Einschätzung von heise security fast immer dasselbe: das Erbeuten von Passwörtern und anderen Zugangsdaten. Diese werden anschließend für Kontoübernahmen, weitere Phishing-Wellen oder den Einstieg in Ransomware-Angriffe missbraucht. Mehr Hintergrund zu solchen Begriffen finden Sie in unserem Cybersecurity-Lexikon.
So schützen Sie Ihr Unternehmen
Ein einzelnes Werkzeug genügt hier nicht, wirksam ist eine Kombination aus technischen und organisatorischen Maßnahmen:
- SVG am Mail-Gateway filtern: Deutschland sicher im Netz empfiehlt, den Empfang von SVG-Dateien im Unternehmen vorsorglich am E-Mail-Gateway zu blockieren oder Anhänge mit aktiven Inhalten in Quarantäne zu verschieben.
- Mitarbeitende sensibilisieren: Unerwartete Anhänge und Links sollten nicht geöffnet werden, solange die Echtheit der Nachricht nicht zweifelsfrei feststeht.
- Mehr-Faktor-Anmeldung nutzen: Sie erhöht die Hürde, falls doch einmal ein Passwort abfließt.
- E-Mail-Schutz aktuell halten: Moderne Filter und ein professionell gepflegtes Microsoft 365-Setup reduzieren das Risiko deutlich.
Häufige Fragen
Sind alle SVG-Dateien gefährlich?
Nein. SVG ist ein legitimes, weit verbreitetes Grafikformat. Gefährlich werden Dateien erst, wenn Angreifer Schadcode einbetten. Da man das einer Datei nicht ansieht, sollten Sie unerwartete SVG-Anhänge grundsätzlich mit Vorsicht behandeln.
Reicht ein Virenscanner als Schutz aus?
Allein nicht zuverlässig. Gerade SVG-Dateien werden von vielen Schutzlösungen nicht ausreichend geprüft. Sinnvoll ist eine Kombination aus Gateway-Filterung, geschulten Mitarbeitenden und mehrstufiger Anmeldung.
Woran erkenne ich eine verdächtige SVG-Mail?
Typische Warnzeichen sind unerwartete Rechnungen, angebliche Sprachnachrichten oder Dokumente „zur Unterschrift“ von unbekannten Absendern. Öffnet sich nach dem Anklicken ein Login-Fenster, ist höchste Vorsicht geboten, geben Sie dort keine Zugangsdaten ein.
So unterstützt Sie die High5Manufaktur GmbH
Als IT-Dienstleister für kleine und mittlere Unternehmen im Raum Karlsruhe richten wir den E-Mail-Schutz Ihrer Microsoft-365-Umgebung so ein, dass Anhänge wie SVG-Dateien geprüft, gefiltert oder in Quarantäne verschoben werden. Im Rahmen unserer Managed Services übernehmen wir die laufende Pflege Ihrer Schutzmechanismen und unterstützen Sie bei der Sensibilisierung Ihrer Mitarbeitenden. Gerne klären wir Ihren konkreten Bedarf in einem unverbindlichen Erstgespräch.
Quellen
Alexander Häffner
Geschäftsführer der High5Manufaktur GmbH. Betreut seit 2021 kleine und mittlere Unternehmen bei Microsoft 365, IT-Sicherheit und Digitalisierung.
Das könnte Sie auch interessieren
Ratgeber
Gefälschter IT-Support in Microsoft Teams: Wie Angreifer per Quick Assist ins KMU-Netz kommen
Ratgeber
Infostealer: Wie Schadsoftware heimlich Zugangsdaten stiehlt - und wie KMU sich schützen
Ratgeber
Cyberbedrohung für KMU 2025: Was das CYBERsicher Lagebild zeigt
Leistung
E-Mail-Sicherheit für Unternehmen
Fehler entdeckt oder eine Anmerkung zum Thema? Schreiben Sie uns an info@h5m.de. Wir freuen uns über Ihren Hinweis.