Wichtigste Erkenntnisse
- SVG-Dateien sind keine binären Bilddaten wie JPEG oder PNG. Sie basieren auf XML und können ausführbare Skripte enthalten, die ein Browser sofort nach dem Öffnen ausführt.
- Laut dem „Phishing Trends Report 2026“ von Hoxhunt hat sich die Zahl der bösartigen SVG-Anhänge im Jahr 2025 im Vergleich zu 2024 verfünfzigfacht und sie zählen nun weltweit zu den drei häufigsten Arten bösartiger E-Mail-Anhänge.
- Jede SVG-Nutzlast wird individuell an die E-Mail-Adresse des Empfängers angepasst. Das Ziel der Weiterleitung wird aufgeteilt, über mehrere Variablen verschlüsselt und erst zur Laufzeit zusammengesetzt, sodass es für jeden Scanner, der die Datei statisch ausliest, wie Kauderwelsch erscheint.
- Die herkömmliche Erkennung basiert auf der Erkennung bekannter Angriffsmuster, sei es anhand von Signaturen oder heuristischen Verfahren.
- Die Deep CDR™-Technologie entfernt aktive Inhalte aus unterstützten Bilddateien, bevor diese den Benutzer erreichen – unabhängig davon, ob die Bedrohung bereits bekannt ist. Es sind weder Signaturen noch eine vorherige Exposition erforderlich.
Kein Makro. Keine ausführbare Datei. Nur ein Bild, das Skripte ausführen kann.
Am 2. Juni 2026 veröffentlichte Xavier Mertens, Mitarbeiter des SANS Internet Storm Center, eine Analyse einer neuen Phishing-Kampagne, deren E-Mails seit mehreren Tagen in seinem Posteingang landeten. Der Anhang jeder E-Mail war eine SVG-Datei – ein Dateiformat, das die meisten Menschen mit Symbolen, Illustrationen und Webgrafiken in Verbindung bringen. Nichts deutete auf eine Bedrohung hin.
Ein Doppelklick darauf öffnete den Standardbrowser, das eingebettete Skript wurde im Hintergrund ausgeführt, und der Browser leitete auf eine Seite weiter, die darauf ausgelegt war, Anmeldedaten zu stehlen und auf die E-Mail-Adresse des Empfängers zugeschnitten war. Es gab keinerlei Anzeichen dafür, dass etwas passiert war, bis es bereits zu spät war.
Für den Angriff waren weder spezielle Software noch ein Dokument mit Makros noch eine über den Reflex hinausgehende Berechtigung des Benutzers erforderlich, einen Anhang zu öffnen. Der gesamte Mechanismus beruhte auf einer weit verbreiteten Annahme: dass eine Bilddatei von Natur aus ein geringes Risiko darstellt.
JPEG rendert. SVG führt aus. Genau dieser Unterschied ist der Angriff.
Diese Annahme ist nachvollziehbar. JPEG- und PNG-Dateien werden als Pixeldaten dargestellt, wodurch ihre Angriffsfläche auf Dateiebene begrenzt ist.
SVG ist anders. Es ist in XML (Extensible Markup Language) geschrieben, derselben Auszeichnungssprache, auf der auch Webseiten basieren. Das bedeutet, dass eine SVG-Datei Skript-Tags, Anker-Elemente und andere aktive Webinhalte enthalten kann, die ein Browser genauso verarbeitet wie jede andere Webseite auch.
Genau diese Schwachstelle nutzen die Angreifer aus. Die Dateien in der von Mertens analysierten Kampagne enthielten keinerlei grafische Inhalte. Es handelte sich um reinen Code: verschleiertes JavaScript, verpackt in einer möglichst schlanken SVG-Hülle, wobei der SVG-Container nur einem einzigen Zweck diente: den Browser des Opfers zu erreichen, während er vom E-Mail-Gateway als Bildanhang klassifiziert wurde.
Warum dies zu einem dringenden Thema geworden ist
SVG als Angriffsvektor ist nichts Neues, doch seine Nutzung in großem Umfang hat zugenommen. Forscher haben bereits seit etwa 2017 bösartige SVG-Anhänge in E-Mails dokumentiert, was die naheliegende Frage aufwirft, was sich geändert hat, dass dieses Thema heute diskussionswürdig ist.
Vor allem zwei Dinge haben sich geändert.
Erstens hat sich das Ausmaß dramatisch verändert. Die Zahl der bösartigen SVG-Anhänge stieg im Jahr 2025 im Vergleich zu 2024 um das Fünfzigfache (Hoxhunt-Bericht zu Phishing-Trends 2026), und im Rahmen einer einzigen Kampagne im Februar 2026 verzeichnete Microsoft den Versand von 1,2 Millionen SVG-basierten Phishing-Nachrichten an mehr als 53.000 Organisationen in 23 Ländern. Die Technik ist nicht neu, wohl aber ihre großflächige Nutzung.
Zweitens veränderte sich die Sicherheitslandschaft in einer Weise, die SVG attraktiver machte. Microsoft deaktivierte im Jahr 2022 Office-Makros standardmäßig, PDF-basierte Bedrohungen wurden stärker unter die Lupe genommen, und SVG gelangte mit einer relativ sauberen Reputationshistorie an viele Gateways, was dazu führte, dass Angreifer, die den Weg des geringsten Widerstands wählten, SVG schnell als sehr attraktiv empfanden.
Die von Mertens dokumentierte Umgehungstechnik ist subtil. Das in das SVG eingebettete JavaScript wird mit dem Typ „application/ecmascript“ anstelle des Standardtyps „text/javascript“ deklariert. Zwar behandeln Browser beide Typen identisch und führen Skripte aus, die mit einem der beiden Typen gekennzeichnet sind, doch genau in der Diskrepanz zwischen dem, was Browser akzeptieren, und dem, was Sicherheitstools überprüfen, liegt der Angriffspunkt.
Als der Standard 2022 durch RFC 9239 aktualisiert wurde, folgten die Sicherheitsanbieter dieser Vorgabe und entfernten „application/ecmascript“ aus ihren Prüflisten. Browser, die auf Abwärtskompatibilität ausgelegt sind, führten diesen Typ jedoch weiterhin aus. Der Standard sah vor, dass dieser Typ nicht mehr verwendet werden sollte. Die Browser haben diese Änderung jedoch nie zur Kenntnis genommen.
Das Ergebnis ist eine dauerhafte Lücke. „application/ecmascript“ ist kein neuer oder obskurer Bezeichner, sondern blickt auf eine Geschichte zurück, die bis in die frühen 2000er Jahre reicht. Angreifer haben ihn nicht erfunden. Sie haben erkannt, dass der RFC-Übergang eine Asymmetrie zwischen Browsern, die das alte Verhalten beibehalten, und Scannern, die den neuen Standard durchsetzen, geschaffen hat – und diese Asymmetrie schließt sich nicht von selbst. Jedes Gateway, das veraltete ECMAScript-MIME-Aliase nicht ausdrücklich wieder in seine Prüfregeln aufgenommen hat, bleibt anfällig – nicht, weil es veraltet ist, sondern weil es einen Standard implementiert hat, dem die Browser nicht gefolgt sind.
Wie der Angriff personalisiert wird, um den Posteingang zu erreichen
Die Adresse des Empfängers wird in Base64 kodiert und direkt in den SVG-Inhalt eingebettet. Das bedeutet, dass jeder einzelne Anhang dieser Kampagne eine einzigartige, personalisierte Phishing-URL generiert, die auf einen bestimmten Empfänger zugeschnitten ist – und das nahezu ohne Kosten.
Dieser Grad an Personalisierung ist entscheidend, da er die Heuristiken umgeht, die generische Kampagnen erkennen – denn es gibt keine sich wiederholenden Inhalte, keine gemeinsam genutzten Weiterleitungs-URLs und kein Muster, das sich wie bei Massen-Phishing über alle Empfänger hinweg wiederholt.
Das Ziel der Weiterleitung wird in Base64 kodiert und anschließend mit einem Schlüssel verschlüsselt, der zur Laufzeit aus zwei separaten Variablen zusammengesetzt wird. Dabei handelt es sich zwar nicht um ausgefeilte Kryptografie, doch was diese Methode gegen automatisierte Scanner wirksam macht, ist gerade die Zusammensetzung des Schlüssels selbst.
Erkennungssysteme, die versuchen, die Verschleierung rückgängig zu machen, müssen sowohl den Algorithmus als auch den Schlüssel kennen, und der Schlüssel existiert hier nirgendwo in der Datei als einzelner Wert. Er ist auf zwei Variablen aufgeteilt und wird erst bei der Ausführung verkettet, was bedeutet, dass ein Scanner die Ziel-URL nicht rekonstruieren kann, ohne zuvor die Laufzeit-Assembly aufzulösen – und das erfordert die Ausführung des Skripts und nicht nur dessen Auslesen. Die statische Analyse liefert kaum verwertbare Hinweise, und die Nutzlast wird erst in einer Live-Browserumgebung lesbar – genau dort, wo die meisten Gateway-Prüfungen nicht stattfinden.
Jede einzelne Ausweichschicht könnte zwar entdeckt werden, doch in Kombination erhöhen ein als Bild klassifiziertes Anhangsformat, ein veralteter MIME-Typ, eine verschlüsselte Nutzlast und eine Zieldomain auf einer Top-Level-Domain mit geringer Missbrauchsgeschichte die Wahrscheinlichkeit, den Posteingang zu erreichen, erheblich.
Ihr Gateway ist nicht ausgefallen. Der Angriff hat die Erkennung umgangen.
Die auf Erkennung basierende E-Mail-Sicherheit basiert auf einer grundlegenden Frage: Stimmt diese Datei mit einer bekannten oder erkennbaren Bedrohung überein? Ihre Wirksamkeit hängt von Vorabinformationen ab, sei es in Form von Signaturen oder Verhaltensmustern.
Genau diese Abhängigkeit ist die strukturelle Schwachstelle, die diese Kampagne aufdeckt. Durch die vielschichtige Verschleierung gibt es für einen Scanner tatsächlich kaum etwas zu entdecken, und aufgrund der Einstufung als SVG-Datei wird die Datei möglicherweise nicht so gründlich geprüft wie ein Office-Dokument oder eine ausführbare Datei. Wenn Ihr Gateway SVG als Bildformat klassifiziert und dementsprechend eine weniger gründliche Prüfung durchführt, wurde diese Kampagne wahrscheinlich auf Gateway-Ebene nicht erkannt. Dies ist ein Fall, in dem der Angriff außerhalb des Bereichs stattfindet, den die Erkennung bewerten kann.
Das soll nicht heißen, dass die Erkennung nicht funktioniert. Gegen bekannte Bedrohungen funktioniert sie gut, und keine E-Mail-Sicherheitsarchitektur ist ohne sie wirksam. Die Frage ist, was mit völlig neuen Bedrohungen geschieht, die Erkennungssysteme noch nie zuvor gesehen haben.
„Prävention an erster Stelle“ bedeutet, alle aktiven Inhalte vorbeugend zu entfernen
Ein Ansatz, bei dem Prävention im Vordergrund steht, sieht neben der Erkennung eine ergänzende Maßnahme vor: Enthält diese Datei noch aktive Inhalte?
Die Deep CDR™-Technologie versucht nicht, festzustellen, ob eine Datei schädlich ist. Stattdessen zerlegt sie die Datei, entfernt alle potenziell schädlichen oder gegen die Richtlinien verstoßenden Elemente und liefert eine bereinigte, nutzbare Version. Bei einer SVG-Datei mit aktivem Skript bedeutet dies, dass der Benutzer eine Datei erhält, die bei Vorhandensein legitimer grafischer Inhalte wie beabsichtigt dargestellt wird, jedoch ohne das Skript, das den Angriff ermöglicht.
Dieser Ansatz wird durch die erstmals erzielte 100-prozentige Bewertung im „Content Disarm and Reconstruction“-Test von SE Labs bestätigt, bei dem die Deep CDR™-Technologie als erste CDR-Lösung überhaupt eine Bewertung von 100 Prozent in den Bereichen Schutz und Genauigkeit erhielt.
Nicht jede Bedrohung lässt sich allein durch Sanitization neutralisieren. Ausweichende Payloads – also Dateien, die so konzipiert sind, dass sie bei einer statischen Analyse harmlos erscheinen und sich erst zur Laufzeit aktivieren – erfordern eine Verhaltensanalyse, die über den Rahmen der Sanitization hinausgeht. MetaDefender schließt diese Lücke durch dynamische Sandbox-Analyse, deckt bösartiges Verhalten durch Emulation auf und liefert ein einziges verlässliches Ergebnis. Mit einer Zero-Day-Erkennungsrate von 99,9 % behebt Aether die verbleibenden Sicherheitslücken, für deren Bewältigung Sanitisierung und Multiscanning allein nicht ausgelegt sind.
Ein Trend, den man auch über SVG hinaus im Auge behalten sollte
SVG ist das aktuelle Beispiel, und es wird nicht das letzte sein. Das Muster geht über SVG hinaus: Jedes Dateiformat, das seriös wirkt, dabei aber ausführbaren Inhalt verbirgt, kommt für eine ähnliche Vorgehensweise in Frage.
HTML-Anhänge schmuggeln Schadcode an Gateways vorbei. In PDF-Dateien eingebettete QR-Codes leiten auf Seiten weiter, die Zugangsdaten abgreifen. Steganografische Schadcode-Elemente verbergen sich in den Metadaten von Bildern. In jedem Fall entspricht die Datei auf struktureller Ebene genau dem, was sie vorgibt zu sein, enthält jedoch Inhalte, für deren Erkennung die oberflächliche Klassifizierungsprüfung nie ausgelegt war.
Die Lehre daraus ist nicht, dass ein bestimmtes Format gefährlich ist. Vielmehr ist die Feststellung „Diese Datei sieht harmlos aus“ keine vertretbare Grundlage mehr für Entscheidungen über die Zustellung. Wenn eine Datei alle Erkennungsprüfungen besteht, sollte sie dann automatisch zugestellt werden oder sollte sie trotzdem bereinigt werden?
Wie OPSWAT einen mehrschichtigen Ansatz für Email Security OPSWAT
Angreifer gehen tagtäglich davon aus, dass die Erkennung die letzte Verteidigungslinie darstellt. Für uns ist sie Teil eines mehrschichtigen Ansatzes, der verschiedene Technologien kombiniert, um die Sicherheit am Perimeter für unsere Kunden zu maximieren. MetaDefender™ Email Security wendet diese Logik auf zwei Bereitstellungsmodelle an:
- MetaDefender™ Email Gateway Security wird vor Ort als Software auf SMTP/MX-Ebene bereitgestellt. Die Deep CDR™-Technologie für über 200 Dateitypen entfernt aktive Inhalte aus jedem Anhang und scannt verschachtelte Archive rekursiv, um eine gründliche Bereinigung zu gewährleisten. Metascan™ Multiscanning mit über 30 Antiviren-Engines führt die Erkennung parallel durch. die prädiktive Alin-KI liefert innerhalb von Millisekunden eine Entscheidung darüber, ob der Anhang Bedrohungen enthält, ohne dass eine Ausführung erforderlich ist; MetaDefender -Sandbox-Technologie deckt schwer zu erkennende Payloads ab, die eine tiefgreifendere Verhaltensanalyse erfordern; und die Proactive DLP™-Technologie verhindert Datenlecks an der Quelle bei über 125 Dateitypen.
- MetaDefender™ Cloud Email Security wendet denselben „Prevention-First“-Ansatz in Microsoft 365-Umgebungen an – ohne Änderungen an MX-Einträgen, ohne zusätzliche Hardware und ohne Unterbrechung des E-Mail-Verkehrs. Die Deep CDR™-Technologie, MetaDefender , Metascan Multiscanning bis zu 17 Antiviren-Engines und Predictive Alin AI überprüfen und bereinigen jeden Anhang in eingehenden und ausgehenden E-Mails, einschließlich verschlüsselter Dateien, bevor diese den Benutzer erreichen.
